Monti Gang lance une mise à jour du ransomware ciblant Linux
Le groupe de menaces Monti ransomware a réapparu après une interruption de deux mois, introduisant une nouvelle version de leur chiffreur conçu pour les systèmes Linux. Le groupe a déplacé son attention vers les secteurs gouvernementaux et juridiques lors de ses récentes attaques.
Initialement apparu en juin 2022, peu de temps après que le groupe de rançongiciels Conti ait cessé ses activités, Monti avait imité les méthodes et les outils de Conti, incorporant même le code source divulgué de Conti. Cependant, ce modèle a changé avec la dernière version.
Monti prend une page du livre de Conti
Selon Trend Micro, cette nouvelle variante marque un changement notable par rapport à ses précédentes itérations basées sur Linux. Contrairement à la version précédente, qui s'appuyait fortement sur le code source Conti divulgué, la version récente utilise un crypteur distinct et affiche de nouveaux comportements, comme l'ont souligné les chercheurs de Trend Micro, Nathaniel Morales et Joshua Paul Ignacio.
Grâce à une analyse BinDiff, il a été découvert que si les versions précédentes affichaient une similitude de 99 % avec Conti, la version actuelle ne montre qu'une similitude de 29 %. Cette diminution drastique de la similarité pointe vers une refonte substantielle.
Les principales modifications incluent l'introduction d'un paramètre "--whitelist" pour contourner le chiffrement de machines virtuelles spécifiques, ainsi que la suppression d'arguments de ligne de commande tels que "--size", "--log" et "--vmlist".
De plus, la variante Linux a été conçue pour manipuler le fichier motd (message du jour) afin d'afficher la note de rançon. Au lieu d'utiliser le cryptage Salsa20, il utilise désormais le cryptage AES-256-CTR. De plus, le processus de cryptage dépend désormais uniquement de la taille du fichier. Pour élaborer, les fichiers supérieurs à 1,048 Mo mais inférieurs à 4,19 Mo n'auront que les 100 000 octets initiaux chiffrés. D'autre part, les fichiers dépassant 4,19 Mo verront une partie de leur contenu verrouillé, en fonction du résultat d'une opération de décalage vers la droite. Les fichiers dont la taille est inférieure à 1,048 Mo seront entièrement cryptés.
Les chercheurs de Trend Micro suggèrent que si des éléments du code source de Conti servent probablement de base à cette nouvelle variante de Monti, des modifications importantes ont été introduites dans le code, notamment en ce qui concerne l'algorithme de chiffrement.