Η Monti Gang λανσάρει ενημερωμένο Ransomware με στόχο το Linux
Η ομάδα απειλών ransomware Monti επανεμφανίστηκε μετά από ένα διάλειμμα δύο μηνών, παρουσιάζοντας μια νέα έκδοση του κρυπτογραφητή τους σχεδιασμένη για συστήματα Linux. Η ομάδα έχει στρέψει το ενδιαφέρον της προς τους κυβερνητικούς και νομικούς τομείς στις πρόσφατες επιθέσεις της.
Αρχικά εμφανίστηκε τον Ιούνιο του 2022, λίγο αφότου η ομάδα ransomware Conti έπαυσε τις δραστηριότητές της, η Monti μιμούνταν τις μεθόδους και τα εργαλεία της Conti, ακόμη και ενσωματώνοντας τον πηγαίο κώδικα που είχε διαρρεύσει από την Conti. Ωστόσο, αυτό το μοτίβο έχει αλλάξει με την τελευταία έκδοση.
Ο Monti παίρνει μια σελίδα από το βιβλίο του Conti
Σύμφωνα με την Trend Micro, αυτή η νέα παραλλαγή σηματοδοτεί μια αξιοσημείωτη απόκλιση από τις προηγούμενες επαναλήψεις που βασίζονταν στο Linux. Σε αντίθεση με την προηγούμενη έκδοση, η οποία βασιζόταν σε μεγάλο βαθμό στον πηγαίο κώδικα Conti που διέρρευσε, η πρόσφατη έκδοση χρησιμοποιεί έναν ξεχωριστό κρυπτογράφηση και εμφανίζει νέες συμπεριφορές, όπως περιγράφεται από τους ερευνητές της Trend Micro, Nathaniel Morales και Joshua Paul Ignacio.
Μέσω μιας ανάλυσης BinDiff, ανακαλύφθηκε ότι ενώ οι προηγούμενες εκδόσεις εμφάνιζαν ομοιότητα 99% με το Conti, η τρέχουσα έκδοση δείχνει ομοιότητα μόνο 29%. Αυτή η δραστική μείωση της ομοιότητας δείχνει προς μια ουσιαστική αναμόρφωση.
Οι βασικές αλλαγές περιλαμβάνουν την εισαγωγή μιας παραμέτρου «--whitelist» για την παράκαμψη της κρυπτογράφησης συγκεκριμένων εικονικών μηχανών, παράλληλα με την κατάργηση ορισμάτων της γραμμής εντολών όπως «--size», «--log» και «--vmlist».
Επιπλέον, η παραλλαγή Linux έχει σχεδιαστεί για να χειρίζεται το αρχείο motd (μήνυμα της ημέρας) προκειμένου να εμφανιστεί το σημείωμα λύτρων. Αντί να χρησιμοποιεί κρυπτογράφηση Salsa20, τώρα χρησιμοποιεί κρυπτογράφηση AES-256-CTR. Επιπλέον, η διαδικασία κρυπτογράφησης εξαρτάται πλέον αποκλειστικά από το μέγεθος του αρχείου. Για να το περιγράψουμε, τα αρχεία μεγαλύτερα από 1,048 MB αλλά μικρότερα από 4,19 MB θα έχουν κρυπτογραφημένα μόνο τα αρχικά 100.000 byte. Από την άλλη πλευρά, τα αρχεία που υπερβαίνουν τα 4,19 MB θα έχουν κλειδωμένο μέρος του περιεχομένου τους, ανάλογα με το αποτέλεσμα μιας λειτουργίας Shift Right. Τα αρχεία μεγέθους κάτω των 1,048 MB θα είναι πλήρως κρυπτογραφημένα.
Οι ερευνητές της Trend Micro προτείνουν ότι, ενώ στοιχεία του πηγαίο κώδικα Conti πιθανότατα χρησιμεύουν ως βάση για αυτήν τη νέα παραλλαγή Monti, έχουν εισαχθεί σημαντικές τροποποιήσεις στον κώδικα, ιδιαίτερα όσον αφορά τον αλγόριθμο κρυπτογράφησης.
