Ransomware Monti revine cu o nouă variantă Linux și tactici de evaziune îmbunătățite
Atacatorii din spatele ransomware-ului Monti au reapărut după o pauză de două luni cu o nouă versiune Linux a criptorului în atacurile sale care vizează sectoarele guvernamental și juridic.
Monti a apărut în iunie 2022, la câteva săptămâni după ce grupul de ransomware Conti și-a închis operațiunile, imitând în mod deliberat tacticile și instrumentele asociate cu acesta din urmă, inclusiv codul sursă scurs. Nu mai este cazul.
Noua versiune, conform Trend Micro, este un fel de plecare, prezentând schimbări semnificative față de ceilalți predecesori ai săi bazați pe Linux.
„Spre deosebire de varianta anterioară, care se bazează în principal pe codul sursă Conti care a făcut obiectul unor scurgeri de informații, această nouă versiune utilizează un criptor diferit cu comportamente distincte suplimentare„, au declarat cercetătorii Trend Micro Nathaniel Morales și Joshua Paul Ignacio.
O analiză BinDiff a dezvăluit că, în timp ce vechile iterații aveau o rată de similaritate de 99% cu Conti, ultima versiune are o rată de similaritate de doar 29%, ceea ce sugerează o revizuire.
Unele dintre modificările cruciale includ adăugarea unui parametru „–whitelist” pentru a instrui lockerul să sară peste o listă de mașini virtuale, precum și eliminarea argumentelor din linia de comandă –size, –log și –vmlist.
De asemenea, varianta pentru Linux este concepută să manipuleze fișierul motd (alias mesajul zilei) pentru a afișa nota de răscumpărare, să folosească criptarea AES-256-CTR în loc de Salsa20 și să se bazeze doar pe dimensiunea fișierului pentru procesul de criptare.
Cu alte cuvinte, fișierele mai mari de 1,048 MB, dar mai mici de 4,19 MB vor avea doar primii 100.000 (0xFFFFF) de octeți ai fișierului criptați, în timp ce cele care depășesc 4,19 MB au o parte din conținut blocat, în funcție de rezultatul unei operații Shift Right.
Fișierele care au o dimensiune mai mică de 1,048 MB vor avea tot conținutul lor criptat.
„Este probabil ca actorii de amenințare din spatele Monti să fi folosit în continuare părți din codul sursă Conti ca bază pentru noua variantă, după cum reiese din unele funcții similare, dar au implementat modificări semnificative ale codului – în special ale algoritmului de criptare„, au declarat cercetătorii.
„În plus, prin modificarea codului, operatorii Monti își sporesc capacitatea de a se sustrage detectării, ceea ce face ca activitățile lor malițioase să fie și mai dificil de identificat și de atenuat.„
Sursa: TheHackerNews.com
Tradus și adaptat cu www.DeepL.com/Translator (free version)