Monti Gang lança ransomware atualizado para Linux
O grupo de ameaças ransomware Monti reapareceu após um hiato de dois meses, apresentando uma nova versão de seu criptografador projetado para sistemas Linux. O grupo mudou seu foco para o governo e os setores jurídicos em seus ataques recentes.
Surgindo inicialmente em junho de 2022, logo após o grupo Conti ransomware encerrar suas operações, Monti vinha imitando os métodos e ferramentas da Conti, incorporando até mesmo o código-fonte vazado da Conti. No entanto, esse padrão mudou com a versão mais recente.
Monti pega uma página do livro de Conti
De acordo com a Trend Micro, esta nova variante marca um notável afastamento de suas iterações anteriores baseadas em Linux. Ao contrário da versão anterior, que dependia fortemente do código-fonte vazado do Conti, a versão recente utiliza um criptografador distinto e exibe novos comportamentos, conforme descrito pelos pesquisadores da Trend Micro, Nathaniel Morales e Joshua Paul Ignacio.
Por meio de uma análise do BinDiff, descobriu-se que, enquanto as versões anteriores exibiam 99% de semelhança com o Conti, a versão atual demonstra apenas 29% de semelhança. Essa redução drástica na semelhança aponta para uma revisão substancial.
As principais alterações incluem a introdução de um parâmetro '--whitelist' para ignorar a criptografia de máquinas virtuais específicas, juntamente com a remoção de argumentos de linha de comando como '--size,' '--log' e '--vmlist.'
Além disso, a variante do Linux foi projetada para manipular o arquivo motd (mensagem do dia) para exibir a nota de resgate. Em vez de utilizar a criptografia Salsa20, ele agora emprega a criptografia AES-256-CTR. Além disso, o processo de criptografia agora depende apenas do tamanho do arquivo. Para elaborar, arquivos maiores que 1,048 MB, mas menores que 4,19 MB, terão apenas os 100.000 bytes iniciais criptografados. Por outro lado, arquivos com mais de 4,19 MB terão uma parte de seu conteúdo bloqueada, dependendo do resultado de uma operação Shift Right. Arquivos abaixo de 1,048 MB de tamanho serão totalmente criptografados.
Os pesquisadores da Trend Micro sugerem que, embora os elementos do código-fonte do Conti provavelmente sirvam de base para essa nova variante do Monti, modificações significativas foram introduzidas no código, principalmente em relação ao algoritmo de criptografia.
