Monti fidye yazılımı Haziran 2022’de bulundu ve hem isim hem de taktik olarak Conti fidye yazılımına yakın benzerliği nedeniyle dikkatleri üzerine çekti ve siber güvenlik uzmanlarının ve kuruluşlarının dikkatini çekti.
Monti fidye yazılımı grubunun, TTP’lerini ve sızdırılmış kaynak kodunu ve araçlarını kullanmak da dahil olmak üzere Conti ekibininkine benzer taktikler uyguladığı gözlemlendi.
Bunun dışında Monti, sürekli olarak şirketleri hedef aldı ve ihlallerini Monti’nin operatörleri tarafından oluşturulan sızdırılmış bir sitede ayrıntılarını ortaya çıkarmak için yayınladı.
İki aylık bir aradan sonra, Monti fidye yazılımı çetesi tekrar geri döndü ve şimdi aşağıdakileri hedefleyen yeni bir Linux dolabıyla geri döndü:-
- Tüzel kişiler
- Finansal hizmetler
- Devlet kurumları
- Sağlık endüstrileri
Trend Micro’daki siber güvenlik araştırmacılarının da belirttiği gibi, önceki Linux tabanlı değişkenlerle karşılaştırıldığında, bu yeni şifreleme aracının birkaç önemli farkı vardır.
Monti Ransomware Yeni Linux Varyantı
Farklı davranışlarla, MONTI’nin bu yeni çeşidi (Ransom.Linux.MONTI.THGOCBC) farklı bir şifreleyici kullanır. Şu anda VirusTotal’da yalnızca üç güvenlik satıcısı örneği kötü amaçlı olarak tanımlamış olsa da.
Bunun yanı sıra, bir BinDiff analizi, eski sürümlerin Conti’ye %99 benzerliğinin aksine, yeni ve eski varyantlar arasında yalnızca %29’luk bir benzerliği vurgulamaktadır.
Monti fidye yazılımının en son sürümü, sanal makineleri sonlandırırken “–type=hard” yerine “-type=soft” parametresini tercih ediyor, bu muhtemelen anında algılamayı azaltmak için stratejik bir hamleye işaret ediyor.
Ayrıca, şifreleme anahtarına bağlı 256 baytlık bir dizinin takip ettiği ‘MONTI’ dizisinin dahil edilmesi, bu yeni değişkene yapılan yeni eklemelerden biridir.
Başarılı sunucu sızmasını duyurmak veya belirtmek için “/etc/motd ve index.html dosyaları” Monti fidye yazılımının yaratıcıları tarafından değiştirildi ve değiştirildi.
Şifrelemeden önce, fidye yazılımı aşağıdaki koşulları doğrular: –
- Bir dosyanın boyutu 261 bayt veya daha küçükse
- Eklenen işaretçiyi eşleştirme
- Dosya şifrelenmemiş olarak kaldığı sürece şifreleme devam eder
Monti fidye yazılımı, ilk koşul karşılanmazsa “MONTI” dizesinin varlığı için son 261 baytı doğrular.
Bu senaryoda, iki örnek meydana gelebilir ve işte bunlar: –
- Bu dize algılanırsa dosya atlanır.
- Dize bulunmazsa, kötü amaçlı yazılım şifreleme işlemine devam eder.
Salsa20’yi kullanmak yerine, bu yeni değişken artık OpenSSL’nin evp_enc’si ile AES-256-CTR şifrelemesini seçti. 1.048MB ile 4.19MB arasındaki dosyalar için fidye yazılımı yalnızca ilk 100.000 baytı (0xFFFFF) şifreler ve ardından dosyanın sonuna bulaşma işaretini ekler.
öneriler
Aşağıda, güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik: –
- Çok faktörlü kimlik doğrulamayı (MFA) uyguladığınızdan emin olun.
- Önemli veriler için her zaman 3-2-1 yedekleme kuralını uygulayın.
- Bilinmeyen bir göndericiden gelen şüpheli ekleri açmayın.
- Daima güçlü güvenlik çözümleri ve AV araçları kullanın.
- AV araçlarını, güvenlik çözümlerini ve sistemleri mevcut en son güncellemeler ve yamalarla güncel tuttuğunuzdan emin olun.
IoC’ler
| SHA1 | Tespit etme |
| f1c0054bc76e8753d4331a881cdf9156dd8b812a | Ransom.Linux.MONTI.THGOCBC |
| a0c9dd3f3e3d0e2cd5d1da06b3aac019cdbc74ef | Ransom.Linux.MONTI.THGADBC |
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.