Monti Fidye Yazılımı Sektörlere Saldıran Yeni Linux Varyantı

   Ağustos 16, 2023  Posted in GBHackers


Monti fidye yazılımı Haziran 2022’de bulundu ve hem isim hem de taktik olarak Conti fidye yazılımına yakın benzerliği nedeniyle dikkatleri üzerine çekti ve siber güvenlik uzmanlarının ve kuruluşlarının dikkatini çekti.

Monti fidye yazılımı grubunun, TTP’lerini ve sızdırılmış kaynak kodunu ve araçlarını kullanmak da dahil olmak üzere Conti ekibininkine benzer taktikler uyguladığı gözlemlendi.

Bunun dışında Monti, sürekli olarak şirketleri hedef aldı ve ihlallerini Monti’nin operatörleri tarafından oluşturulan sızdırılmış bir sitede ayrıntılarını ortaya çıkarmak için yayınladı.

İki aylık bir aradan sonra, Monti fidye yazılımı çetesi tekrar geri döndü ve şimdi aşağıdakileri hedefleyen yeni bir Linux dolabıyla geri döndü:-

  • Tüzel kişiler
  • Finansal hizmetler
  • Devlet kurumları
  • Sağlık endüstrileri

Trend Micro’daki siber güvenlik araştırmacılarının da belirttiği gibi, önceki Linux tabanlı değişkenlerle karşılaştırıldığında, bu yeni şifreleme aracının birkaç önemli farkı vardır.

Monti Ransomware Yeni Linux Varyantı

Farklı davranışlarla, MONTI’nin bu yeni çeşidi (Ransom.Linux.MONTI.THGOCBC) farklı bir şifreleyici kullanır. Şu anda VirusTotal’da yalnızca üç güvenlik satıcısı örneği kötü amaçlı olarak tanımlamış olsa da.

Bunun yanı sıra, bir BinDiff analizi, eski sürümlerin Conti’ye %99 benzerliğinin aksine, yeni ve eski varyantlar arasında yalnızca %29’luk bir benzerliği vurgulamaktadır.

Eski ve yeni Monti çeşitlerinin karşılaştırılması (Kaynak – Trend Micro)

Monti fidye yazılımının en son sürümü, sanal makineleri sonlandırırken “–type=hard” yerine “-type=soft” parametresini tercih ediyor, bu muhtemelen anında algılamayı azaltmak için stratejik bir hamleye işaret ediyor.

Ayrıca, şifreleme anahtarına bağlı 256 baytlık bir dizinin takip ettiği ‘MONTI’ dizisinin dahil edilmesi, bu yeni değişkene yapılan yeni eklemelerden biridir.

Başarılı sunucu sızmasını duyurmak veya belirtmek için “/etc/motd ve index.html dosyaları” Monti fidye yazılımının yaratıcıları tarafından değiştirildi ve değiştirildi.

motd’nin yeni değiştirilen içeriği (Kaynak – Trend Micro)

Şifrelemeden önce, fidye yazılımı aşağıdaki koşulları doğrular: –

  • Bir dosyanın boyutu 261 bayt veya daha küçükse
  • Eklenen işaretçiyi eşleştirme
  • Dosya şifrelenmemiş olarak kaldığı sürece şifreleme devam eder

Monti fidye yazılımı, ilk koşul karşılanmazsa “MONTI” dizesinin varlığı için son 261 baytı doğrular.

Bu senaryoda, iki örnek meydana gelebilir ve işte bunlar: –

  • Bu dize algılanırsa dosya atlanır.
  • Dize bulunmazsa, kötü amaçlı yazılım şifreleme işlemine devam eder.
“MONTI” dizisinin varlığını kontrol etmek için kod parçacığı (Kaynak – Trend Micro)

Salsa20’yi kullanmak yerine, bu yeni değişken artık OpenSSL’nin evp_enc’si ile AES-256-CTR şifrelemesini seçti. 1.048MB ile 4.19MB arasındaki dosyalar için fidye yazılımı yalnızca ilk 100.000 baytı (0xFFFFF) şifreler ve ardından dosyanın sonuna bulaşma işaretini ekler.

öneriler

Aşağıda, güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik: –

  • Çok faktörlü kimlik doğrulamayı (MFA) uyguladığınızdan emin olun.
  • Önemli veriler için her zaman 3-2-1 yedekleme kuralını uygulayın.
  • Bilinmeyen bir göndericiden gelen şüpheli ekleri açmayın.
  • Daima güçlü güvenlik çözümleri ve AV araçları kullanın.
  • AV araçlarını, güvenlik çözümlerini ve sistemleri mevcut en son güncellemeler ve yamalarla güncel tuttuğunuzdan emin olun.

IoC’ler

SHA1 Tespit etme
f1c0054bc76e8753d4331a881cdf9156dd8b812a Ransom.Linux.MONTI.THGOCBC
a0c9dd3f3e3d0e2cd5d1da06b3aac019cdbc74ef Ransom.Linux.MONTI.THGADBC

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link