Monti Gang が Linux をターゲットとした最新のランサムウェアを起動
Monti ランサムウェア脅威グループが 2 か月の活動休止期間を経て再び出現し、Linux システム用に設計された新しいバージョンの暗号化プログラムを導入しました。このグループは、最近の攻撃の焦点を政府と法律部門に移しています。
Conti ランサムウェア グループが活動を停止した直後の 2022 年 6 月に初めて出現した Monti は、Conti から流出したソース コードを組み込むなど、Conti の手法とツールを模倣していました。ただし、このパターンは最新バージョンでは変更されました。
モンティがコンティの本からページを抜粋
トレンドマイクロによると、この新しい亜種は、以前の Linux ベースのバージョンからの顕著な変化を示しています。流出した Conti ソースコードに大きく依存していた以前のバージョンとは異なり、トレンドマイクロの研究者である Nathaniel Morales 氏と Joshua Paul Ignacio 氏が概説したように、最近のリリースでは独自の暗号化装置が利用され、新しい動作が示されています。
BinDiff 分析を通じて、以前のバージョンでは Conti と 99% の類似性が示されたのに対し、現在のバージョンでは 29% の類似性しか示されていないことが判明しました。この類似性の大幅な減少は、大幅な見直しを示唆しています。
主な変更点には、特定の仮想マシンの暗号化をバイパスするための「--whitelist」パラメータの導入や、「--size」、「--log」、「--vmlist」などのコマンドライン引数の削除が含まれます。
さらに、この Linux 亜種は、身代金メモを提示するために motd (今日のメッセージ) ファイルを操作するように設計されています。 Salsa20 暗号化を利用する代わりに、AES-256-CTR 暗号化を採用するようになりました。さらに、暗号化プロセスはファイル サイズのみに依存するようになりました。詳しく説明すると、1.048 MB より大きく 4.19 MB より小さいファイルは、最初の 100,000 バイトのみが暗号化されます。一方、4.19 MB を超えるファイルの場合は、Shift Right 操作の結果に応じて、コンテンツの一部がロックされます。サイズが 1.048 MB 未満のファイルは完全に暗号化されます。
トレンドマイクロの研究者らは、Conti ソースコードの要素がこの新しい Monti 亜種の基盤として機能する可能性が高いものの、コードには、特に暗号化アルゴリズムに関して大幅な変更が加えられていると示唆しています。