Monti Gang lancerer opdateret Ransomware målrettet mod Linux
Monti-ransomware-trusselgruppen er dukket op igen efter en pause på to måneder og introducerede en ny version af deres kryptering designet til Linux-systemer. Gruppen har flyttet deres fokus mod regering og juridiske sektorer i deres seneste angreb.
Oprindeligt dukkede op i juni 2022, kort efter at Conti ransomware-gruppen indstillede sine aktiviteter, havde Monti efterlignet Contis metoder og værktøjer, endda inkorporeret lækket kildekode fra Conti. Dette mønster har dog ændret sig med den seneste version.
Monti tager en side fra Contis bog
Ifølge Trend Micro markerer denne nye variant en bemærkelsesværdig afvigelse fra dens tidligere Linux-baserede iterationer. I modsætning til den tidligere version, som var stærkt afhængig af den lækkede Conti-kildekode, bruger den seneste udgivelse en særskilt kryptering og viser ny adfærd, som beskrevet af Trend Micros forskere Nathaniel Morales og Joshua Paul Ignacio.
Gennem en BinDiff-analyse blev det opdaget, at mens tidligere versioner viste en 99% lighed med Conti, viser den nuværende version kun en 29% lighed. Dette drastiske fald i ligheden peger i retning af en væsentlig revision.
Nøgleændringer omfatter introduktion af en '--whitelist'-parameter for at omgå kryptering af specifikke virtuelle maskiner, sammen med fjernelse af kommandolinjeargumenter som '--size,' '--log' og '--vmlist.'
Derudover er Linux-varianten blevet udviklet til at manipulere motd-filen (dagens besked) for at udstille løsesumsedlen. I stedet for at bruge Salsa20-kryptering, anvender den nu AES-256-CTR-kryptering. Desuden afhænger krypteringsprocessen nu udelukkende af filstørrelsen. For at uddybe vil filer, der er større end 1,048 MB, men mindre end 4,19 MB, kun have de første 100.000 bytes krypteret. På den anden side vil filer, der overstiger 4,19 MB, have en del af deres indhold låst, afhængigt af resultatet af en Skift Højre-operation. Filer under 1.048 MB i størrelse vil være helt krypteret.
Trend Micros forskere foreslår, at selvom elementer af Conti-kildekoden sandsynligvis tjener som grundlaget for denne nye Monti-variant, er der blevet introduceret betydelige ændringer til koden, især med hensyn til krypteringsalgoritmen.