Monti Gang 推出針對 Linux 的更新勒索軟件

Monti 勒索軟件威脅組織在中斷兩個月後再次出現，推出了專為 Linux 系統設計的新版本加密器。該組織在最近的攻擊中已將重點轉向政府和法律部門。

Monti 最初出現於 2022 年 6 月，即 Conti 勒索軟件組織停止運營後不久，Monti 一直在模仿 Conti 的方法和工具，甚至合併了 Conti 洩露的源代碼。然而，這種模式在最新版本中發生了變化。

蒙蒂借鑒了孔蒂的著作

根據趨勢科技的說法，這個新變體標誌著與其之前基於 Linux 的迭代的顯著不同。正如趨勢科技研究人員 Nathaniel Morales 和 Joshua Paul Ignacio 所概述的那樣，與嚴重依賴洩露的 Conti 源代碼的早期版本不同，最近的版本使用了獨特的加密器並顯示了新的行為。

通過 BinDiff 分析，發現之前的版本與 Conti 的相似度高達 99%，而當前版本的相似度僅為 29%。相似性的急劇下降表明需要進行重大改革。

關鍵更改包括引入“--whitelist”參數來繞過加密特定虛擬機，以及刪除“--size”、“--log”和“--vmlist”等命令行參數。

此外，Linux 變體經過精心設計，可以操縱 motd（每日消息）文件，以顯示勒索信息。它現在使用 AES-256-CTR 加密，而不是使用 Salsa20 加密。此外，加密過程現在僅取決於文件大小。詳細來說，大於 1.048 MB 但小於 4.19 MB 的文件將僅加密最初的 100,000 字節。另一方面，超過 4.19 MB 的文件將鎖定其部分內容，具體取決於右移操作的結果。大小低於 1.048 MB 的文件將被完全加密。

趨勢科技的研究人員表示，雖然 Conti 源代碼的元素可能是這種新 Monti 變體的基礎，但代碼已進行了重大修改，特別是在加密算法方面。