Monti Gang запускает обновленную программу-вымогатель, нацеленную на Linux
После двухмесячного перерыва вновь появилась группа угроз вымогателей Monti, представившая новую версию своего шифровальщика, предназначенного для систем Linux. Группа переключила свое внимание на правительственный и юридический секторы в своих недавних атаках.
Первоначально появившись в июне 2022 года, вскоре после того, как группа вымогателей Conti прекратила свою деятельность, Monti имитировала методы и инструменты Conti, даже включая утечку исходного кода от Conti. Однако этот шаблон изменился в последней версии.
Монти берет страницу из книги Конти
Согласно Trend Micro, этот новый вариант знаменует собой заметный отход от предыдущих итераций на базе Linux. В отличие от более ранней версии, которая в значительной степени зависела от просочившегося исходного кода Conti, в недавнем выпуске используется отдельный шифратор и отображается новое поведение, о чем рассказали исследователи Trend Micro Натаниэль Моралес и Джошуа Пол Игнасио.
С помощью анализа BinDiff было обнаружено, что в то время как предыдущие версии демонстрировали сходство с Conti на 99%, текущая версия демонстрирует сходство только на 29%. Это резкое уменьшение сходства указывает на существенный пересмотр.
Ключевые изменения включают введение параметра --whitelist для обхода шифрования определенных виртуальных машин, а также удаление аргументов командной строки, таких как --size, --log и --vmlist.
Кроме того, вариант Linux был разработан для манипулирования файлом motd (сообщение дня) для отображения записки о выкупе. Вместо шифрования Salsa20 теперь используется шифрование AES-256-CTR. Более того, процесс шифрования теперь зависит исключительно от размера файла. Чтобы уточнить, файлы размером более 1,048 МБ, но меньше 4,19 МБ будут зашифрованы только начальные 100 000 байт. С другой стороны, в файлах, размер которых превышает 4,19 МБ, часть содержимого будет заблокирована в зависимости от результата операции Shift Right. Файлы размером менее 1,048 МБ будут полностью зашифрованы.
Исследователи Trend Micro предполагают, что, хотя элементы исходного кода Conti, вероятно, служат основой для этого нового варианта Monti, в код были внесены значительные изменения, особенно в отношении алгоритма шифрования.