Monti Gang uruchamia zaktualizowany system ransomware atakujący system Linux

Grupa zagrożeń ransomware Monti pojawiła się ponownie po dwumiesięcznej przerwie, wprowadzając nową wersję swojego programu szyfrującego przeznaczonego dla systemów Linux. W swoich ostatnich atakach grupa przeniosła swoją uwagę na sektory rządowe i prawne.

Początkowo pojawił się w czerwcu 2022 r., wkrótce po zaprzestaniu działalności przez grupę ransomware Conti, Monti naśladował metody i narzędzia Conti, a nawet zawierał kod źródłowy z Conti, który wyciekł. Jednak ten wzorzec zmienił się wraz z najnowszą wersją.

Monti bierze stronę z książki Contiego

Według firmy Trend Micro ten nowy wariant stanowi znaczące odejście od poprzednich iteracji opartych na systemie Linux. W przeciwieństwie do wcześniejszej wersji, która w dużym stopniu opierała się na ujawnionym kodzie źródłowym Conti, najnowsza wersja wykorzystuje odrębny program szyfrujący i wyświetla nowe zachowania, jak opisali badacze firmy Trend Micro, Nathaniel Morales i Joshua Paul Ignacio.

Dzięki analizie BinDiff odkryto, że podczas gdy poprzednie wersje wykazywały 99% podobieństwa do Conti, obecna wersja wykazuje tylko 29% podobieństwa. Ten drastyczny spadek podobieństwa wskazuje na znaczną zmianę.

Kluczowe zmiany obejmują wprowadzenie parametru „--whitelist”, aby ominąć szyfrowanie określonych maszyn wirtualnych, a także usunięcie argumentów wiersza poleceń, takich jak „--size”, „--log” i „--vmlist”.

Ponadto wariant Linuksa został zaprojektowany tak, aby manipulować plikiem motd (wiadomość dnia) w celu wyświetlenia żądania okupu. Zamiast wykorzystywać szyfrowanie Salsa20, wykorzystuje teraz szyfrowanie AES-256-CTR. Ponadto proces szyfrowania zależy teraz wyłącznie od rozmiaru pliku. Aby rozwinąć, pliki większe niż 1,048 MB, ale mniejsze niż 4,19 MB będą miały zaszyfrowane tylko początkowe 100 000 bajtów. Z drugiej strony pliki przekraczające 4,19 MB będą miały zablokowaną część zawartości, w zależności od wyniku operacji Shift Right. Pliki o rozmiarze poniżej 1,048 MB zostaną całkowicie zaszyfrowane.

Badacze Trend Micro sugerują, że chociaż elementy kodu źródłowego Conti prawdopodobnie służą jako podstawa dla tego nowego wariantu Montiego, w kodzie wprowadzono znaczące modyfikacje, szczególnie w zakresie algorytmu szyfrowania.