Monti Gang 推出针对 Linux 的更新勒索软件
Monti 勒索软件威胁组织在中断两个月后再次出现,推出了专为 Linux 系统设计的新版本加密器。该组织在最近的攻击中已将重点转向政府和法律部门。
Monti 最初出现于 2022 年 6 月,即 Conti 勒索软件组织停止运营后不久,Monti 一直在模仿 Conti 的方法和工具,甚至合并了 Conti 泄露的源代码。然而,这种模式在最新版本中发生了变化。
蒙蒂借鉴了孔蒂的著作
根据趋势科技的说法,这个新变体标志着与其之前基于 Linux 的迭代的显着不同。正如趋势科技研究人员 Nathaniel Morales 和 Joshua Paul Ignacio 所概述的那样,与严重依赖泄露的 Conti 源代码的早期版本不同,最近的版本使用了独特的加密器并显示了新的行为。
通过 BinDiff 分析,发现之前的版本与 Conti 的相似度高达 99%,而当前版本的相似度仅为 29%。相似性的急剧下降表明需要进行重大改革。
关键更改包括引入“--whitelist”参数来绕过加密特定虚拟机,以及删除“--size”、“--log”和“--vmlist”等命令行参数。
此外,Linux 变体经过精心设计,可以操纵 motd(每日消息)文件,以显示勒索信息。它现在使用 AES-256-CTR 加密,而不是使用 Salsa20 加密。此外,加密过程现在仅取决于文件大小。详细来说,大于 1.048 MB 但小于 4.19 MB 的文件将仅加密最初的 100,000 字节。另一方面,超过 4.19 MB 的文件将锁定其部分内容,具体取决于右移操作的结果。大小低于 1.048 MB 的文件将被完全加密。
趋势科技的研究人员表示,虽然 Conti 源代码的元素可能是这种新 Monti 变体的基础,但代码已进行了重大修改,特别是在加密算法方面。