A Monti Gang frissített Ransomware célzó Linuxot indít
A Monti ransomware fenyegető csoport két hónapos szünet után újra megjelent, és bemutatta titkosítójuk új verzióját, amelyet Linux rendszerekre terveztek. A csoport a közelmúltban elkövetett támadásai során a kormány és a jogi szektor felé helyezte a hangsúlyt.
A kezdetben 2022 júniusában megjelenő Monti nem sokkal azután, hogy a Conti ransomware csoport beszüntette működését, a Conti módszereit és eszközeit utánozta, még a Conti kiszivárgott forráskódját is beépítette. Ez a minta azonban megváltozott a legújabb verzióval.
Monti kivesz egy oldalt Conti könyvéből
A Trend Micro szerint ez az új változat jelentős eltérést jelent a korábbi Linux alapú iterációkhoz képest. A korábbi verziótól eltérően, amely nagymértékben támaszkodott a kiszivárgott Conti forráskódra, a legutóbbi kiadás külön titkosítót használ, és új viselkedéseket jelenít meg, amint azt a Trend Micro kutatói, Nathaniel Morales és Joshua Paul Ignacio vázolták.
A BinDiff elemzés során kiderült, hogy míg a korábbi verziók 99%-os hasonlóságot mutattak a Conti-val, a jelenlegi verzió csak 29%-os hasonlóságot mutat. A hasonlóságnak ez a drasztikus csökkenése jelentős átalakításra utal.
A legfontosabb változtatások közé tartozik egy „--whitelist” paraméter bevezetése, amely megkerüli az adott virtuális gépek titkosítását, valamint a parancssori argumentumok, például a „--size”, „--log” és „--vmlist” eltávolítását.
Ezenkívül a Linux változatot úgy alakították ki, hogy manipulálja a motd (a nap üzenete) fájlt a váltságdíj feljegyzésének megjelenítése érdekében. A Salsa20 titkosítás használata helyett most AES-256-CTR titkosítást alkalmaz. Ezenkívül a titkosítási folyamat már kizárólag a fájl méretétől függ. A további részletekért az 1,048 MB-nál nagyobb, de 4,19 MB-nál kisebb fájloknál csak a kezdeti 100 000 bájt lesz titkosítva. Másrészt a 4,19 MB-ot meghaladó fájlok tartalmuk egy része zárolva lesz, a Shift Right művelet eredményétől függően. Az 1,048 MB-nál kisebb fájlok teljes mértékben titkosítva lesznek.
A Trend Micro kutatói azt sugallják, hogy bár a Conti forráskód elemei valószínűleg az új Monti-változat alapjául szolgálnak, jelentős módosításokat vezettek be a kódon, különösen a titkosítási algoritmus tekintetében.