Monti Gang lanserer oppdatert ransomware rettet mot Linux

Monti løsepengevare-trusselgruppen har dukket opp igjen etter en pause på to måneder, og introduserte en ny versjon av deres kryptering designet for Linux-systemer. Gruppen har skiftet fokus mot regjeringen og juridiske sektorer i sine nylige angrep.

Opprinnelig dukket opp i juni 2022, kort tid etter at Conti ransomware-gruppen sluttet å operere, hadde Monti etterlignet Contis metoder og verktøy, til og med inkorporert lekket kildekode fra Conti. Dette mønsteret har imidlertid endret seg med den nyeste versjonen.

Monti tar en side fra Contis bok

I følge Trend Micro markerer denne nye varianten en bemerkelsesverdig avvik fra sine tidligere Linux-baserte iterasjoner. I motsetning til den tidligere versjonen, som var sterkt avhengig av den lekkede Conti-kildekoden, bruker den nylige utgivelsen en distinkt kryptering og viser ny atferd, som skissert av Trend Micros forskere Nathaniel Morales og Joshua Paul Ignacio.

Gjennom en BinDiff-analyse ble det oppdaget at mens tidligere versjoner viste 99 % likhet med Conti, viser den nåværende versjonen bare 29 % likhet. Denne drastiske nedgangen i likhet peker mot en betydelig overhaling.

Viktige endringer inkluderer å introdusere en '--whitelist'-parameter for å omgå kryptering av spesifikke virtuelle maskiner, sammen med fjerning av kommandolinjeargumenter som '--size', '--log' og '--vmlist.'

I tillegg har Linux-varianten blitt konstruert for å manipulere motd-filen (dagens melding) for å vise løsepengene. I stedet for å bruke Salsa20-kryptering, bruker den nå AES-256-CTR-kryptering. Dessuten avhenger krypteringsprosessen nå utelukkende av filstørrelsen. For å utdype, filer større enn 1,048 MB, men mindre enn 4,19 MB vil bare ha de første 100 000 bytene kryptert. På den annen side vil filer som overstiger 4,19 MB ha en del av innholdet låst, avhengig av utfallet av en Shift Right-operasjon. Filer under 1.048 MB i størrelse vil være fullstendig kryptert.

Trend Micros forskere antyder at selv om elementer i Conti-kildekoden sannsynligvis fungerer som grunnlaget for denne nye Monti-varianten, har betydelige modifikasjoner blitt introdusert i koden, spesielt når det gjelder krypteringsalgoritmen.