Monti Gang pristato atnaujintą „Ransomware“ taikymą „Linux“.

„Monti“ išpirkos programinės įrangos grėsmių grupė vėl pasirodė po dviejų mėnesių pertraukos ir pristatė naują savo šifruotojo versiją, skirtą „Linux“ sistemoms. Grupė per pastarąsias atakas sutelkė dėmesį į vyriausybę ir teisinius sektorius.

Iš pradžių atsiradusi 2022 m. birželį, netrukus po to, kai „Conti ransomware“ grupė nutraukė savo veiklą, „Monti“ imitavo „Conti“ metodus ir įrankius, net įtraukdama nutekėjusį „Conti“ šaltinio kodą. Tačiau šis modelis pasikeitė naudojant naujausią versiją.

Monti paima puslapį iš Conti knygos

Pasak „Trend Micro“, šis naujas variantas žymi didelį nukrypimą nuo ankstesnių „Linux“ pagrįstų iteracijų. Skirtingai nuo ankstesnės versijos, kuri labai rėmėsi nutekėjusiu „Conti“ šaltinio kodu, naujausiame leidime naudojamas atskiras šifruotojas ir rodomas naujas elgesys, kaip nurodė „Trend Micro“ tyrinėtojai Nathaniel Morales ir Joshua Paul Ignacio.

Atlikus BinDiff analizę, buvo nustatyta, kad nors ankstesnės versijos buvo 99 % panašumos į Conti, dabartinė versija rodo tik 29 % panašumą. Šis drastiškas panašumo sumažėjimas rodo esminį kapitalinį remontą.

Pagrindiniai pakeitimai apima parametro „--whitelist“ įvedimą, kad būtų išvengta konkrečių virtualių mašinų šifravimo, kartu pašalinami komandų eilutės argumentai, pvz., „--size“, „--log“ ir „--vmlist“.

Be to, „Linux“ variantas buvo sukurtas taip, kad būtų galima manipuliuoti motd (dienos pranešimo) failu, kad būtų rodomas išpirkos raštas. Užuot naudojęs Salsa20 šifravimą, dabar jis naudoja AES-256-CTR šifravimą. Be to, šifravimo procesas dabar priklauso tik nuo failo dydžio. Išsamiau galima pasakyti, kad didesni nei 1,048 MB, bet mažesni nei 4,19 MB failai bus užšifruoti tik 100 000 baitų. Kita vertus, failų, viršijančių 4,19 MB, dalis jų turinio bus užrakinta, atsižvelgiant į operacijos „Shift Right“ rezultatą. Failai, kurių dydis mažesnis nei 1,048 MB, bus visiškai užšifruoti.

„Trend Micro“ tyrėjai teigia, kad nors Conti šaltinio kodo elementai greičiausiai yra šio naujo Monti varianto pagrindas, kode buvo atlikti reikšmingi pakeitimai, ypač susiję su šifravimo algoritmu.