Monti Gang 推出针对 Linux 的更新勒索软件

Monti 勒索软件威胁组织在中断两个月后再次出现，推出了专为 Linux 系统设计的新版本加密器。该组织在最近的攻击中已将重点转向政府和法律部门。

Monti 最初出现于 2022 年 6 月，即 Conti 勒索软件组织停止运营后不久，Monti 一直在模仿 Conti 的方法和工具，甚至合并了 Conti 泄露的源代码。然而，这种模式在最新版本中发生了变化。

蒙蒂借鉴了孔蒂的著作

根据趋势科技的说法，这个新变体标志着与其之前基于 Linux 的迭代的显着不同。正如趋势科技研究人员 Nathaniel Morales 和 Joshua Paul Ignacio 所概述的那样，与严重依赖泄露的 Conti 源代码的早期版本不同，最近的版本使用了独特的加密器并显示了新的行为。

通过 BinDiff 分析，发现之前的版本与 Conti 的相似度高达 99%，而当前版本的相似度仅为 29%。相似性的急剧下降表明需要进行重大改革。

关键更改包括引入“--whitelist”参数来绕过加密特定虚拟机，以及删除“--size”、“--log”和“--vmlist”等命令行参数。

此外，Linux 变体经过精心设计，可以操纵 motd（每日消息）文件，以显示勒索信息。它现在使用 AES-256-CTR 加密，而不是使用 Salsa20 加密。此外，加密过程现在仅取决于文件大小。详细来说，大于 1.048 MB 但小于 4.19 MB 的文件将仅加密最初的 100,000 字节。另一方面，超过 4.19 MB 的文件将锁定其部分内容，具体取决于右移操作的结果。大小低于 1.048 MB 的文件将被完全加密。

趋势科技的研究人员表示，虽然 Conti 源代码的元素可能是这种新 Monti 变体的基础，但代码已进行了重大修改，特别是在加密算法方面。