Monti Gang bringt aktualisierte Ransomware auf den Markt, die auf Linux abzielt
Die Monti-Ransomware-Bedrohungsgruppe ist nach einer zweimonatigen Pause wieder aufgetaucht und stellt eine neue Version ihres für Linux-Systeme entwickelten Verschlüsselungsprogramms vor. Bei ihren jüngsten Angriffen hat die Gruppe ihren Fokus auf den Regierungs- und Rechtssektor verlagert.
Monti tauchte erstmals im Juni 2022 auf, kurz nachdem die Conti-Ransomware-Gruppe ihren Betrieb eingestellt hatte, und imitierte die Methoden und Tools von Conti und integrierte sogar durchgesickerten Quellcode von Conti. Dieses Muster hat sich jedoch mit der neuesten Version geändert.
Monti übernimmt eine Seite aus Contis Buch
Laut Trend Micro stellt diese neue Variante eine bemerkenswerte Abkehr von den vorherigen Linux-basierten Iterationen dar. Im Gegensatz zur früheren Version, die sich stark auf den durchgesickerten Conti-Quellcode stützte, verwendet die aktuelle Version einen eigenen Verschlüsselungsmechanismus und zeigt neue Verhaltensweisen, wie von den Trend Micro-Forschern Nathaniel Morales und Joshua Paul Ignacio beschrieben.
Durch eine BinDiff-Analyse wurde festgestellt, dass frühere Versionen zwar eine 99-prozentige Ähnlichkeit mit Conti aufwiesen, die aktuelle Version jedoch nur eine 29-prozentige Ähnlichkeit aufweist. Dieser drastische Rückgang der Ähnlichkeit deutet auf eine umfassende Überarbeitung hin.
Zu den wichtigsten Änderungen gehört die Einführung eines Parameters „--whitelist“, um die Verschlüsselung bestimmter virtueller Maschinen zu umgehen, sowie die Entfernung von Befehlszeilenargumenten wie „--size“, „--log“ und „--vmlist“.
Darüber hinaus wurde die Linux-Variante so entwickelt, dass sie die motd-Datei (Nachricht des Tages) manipuliert, um die Lösegeldforderung anzuzeigen. Anstelle der Salsa20-Verschlüsselung wird nun die AES-256-CTR-Verschlüsselung verwendet. Darüber hinaus hängt der Verschlüsselungsprozess jetzt ausschließlich von der Dateigröße ab. Um es näher zu erläutern: Bei Dateien, die größer als 1,048 MB, aber kleiner als 4,19 MB sind, werden nur die ersten 100.000 Byte verschlüsselt. Andererseits wird bei Dateien mit mehr als 4,19 MB ein Teil ihres Inhalts gesperrt, abhängig vom Ergebnis einer Shift-Right-Operation. Dateien mit einer Größe von weniger als 1,048 MB werden vollständig verschlüsselt.
Die Forscher von Trend Micro gehen davon aus, dass Elemente des Conti-Quellcodes zwar wahrscheinlich als Grundlage für diese neue Monti-Variante dienen, am Code jedoch erhebliche Änderungen vorgenommen wurden, insbesondere im Hinblick auf den Verschlüsselungsalgorithmus.
