Monti Gang 推出針對 Linux 的更新勒索軟件
Monti 勒索軟件威脅組織在中斷兩個月後再次出現,推出了專為 Linux 系統設計的新版本加密器。該組織在最近的攻擊中已將重點轉向政府和法律部門。
Monti 最初出現於 2022 年 6 月,即 Conti 勒索軟件組織停止運營後不久,Monti 一直在模仿 Conti 的方法和工具,甚至合併了 Conti 洩露的源代碼。然而,這種模式在最新版本中發生了變化。
蒙蒂借鑒了孔蒂的著作
根據趨勢科技的說法,這個新變體標誌著與其之前基於 Linux 的迭代的顯著不同。正如趨勢科技研究人員 Nathaniel Morales 和 Joshua Paul Ignacio 所概述的那樣,與嚴重依賴洩露的 Conti 源代碼的早期版本不同,最近的版本使用了獨特的加密器並顯示了新的行為。
通過 BinDiff 分析,發現之前的版本與 Conti 的相似度高達 99%,而當前版本的相似度僅為 29%。相似性的急劇下降表明需要進行重大改革。
關鍵更改包括引入“--whitelist”參數來繞過加密特定虛擬機,以及刪除“--size”、“--log”和“--vmlist”等命令行參數。
此外,Linux 變體經過精心設計,可以操縱 motd(每日消息)文件,以顯示勒索信息。它現在使用 AES-256-CTR 加密,而不是使用 Salsa20 加密。此外,加密過程現在僅取決於文件大小。詳細來說,大於 1.048 MB 但小於 4.19 MB 的文件將僅加密最初的 100,000 字節。另一方面,超過 4.19 MB 的文件將鎖定其部分內容,具體取決於右移操作的結果。大小低於 1.048 MB 的文件將被完全加密。
趨勢科技的研究人員表示,雖然 Conti 源代碼的元素可能是這種新 Monti 變體的基礎,但代碼已進行了重大修改,特別是在加密算法方面。