Monti fidye yazılımı çetesi, veri sızıntısı sitelerinde kurbanları yayınlamaktan iki aylık bir aradan sonra, VMware ESXi sunucularını, hukuk kurumlarını ve devlet kurumlarını hedeflemek için yeni bir Linux dolabı kullanarak geri döndü.
Trend Micro’daki araştırmacılar, Monti’nin yeni şifreleme aracını analiz ederek, “diğer Linux tabanlı öncüllerinden önemli sapmalara” sahip olduğunu buldular.
Yeni Linux dolabı
Monti dolabının önceki sürümleri, büyük ölçüde (%99) Conti fidye yazılımından sızan koda dayanıyordu, ancak yeni dolaptaki benzerlikler yalnızca %29.
Trend Micro’nun gözlemlediği önemli değişiklikler arasında şunlar yer alır:
- ‘–size’, ‘–log’ ve ‘–vmlist’ parametrelerinin kaldırılması ve ESXi sanal makinelerini (VM’ler) daha incelikli bir şekilde sonlandırmak için yeni bir ‘-type=soft’ parametresinin eklenmesi tespitten kaçmak
- Dolabın ana bilgisayardaki belirli ESXi sanal makinelerini (VM’ler) atlaması talimatını vermek için bir ‘–beyaz liste’ parametresinin eklenmesi.
- Kullanıcı oturum açtığında fidye notu içeriğini görüntülemek için ‘/etc/motd’ ve ‘index.html’ dosyalarının değiştirilmesi (Günün Mesajı).
- Artık “MONTI” bayt imzasını, şifrelenmiş dosyalara şifreleme anahtarıyla ilgili ek 256 baytla birlikte ekler.
- Dosya boyutunun 261 baytın altında veya üzerinde olup olmadığını kontrol eder, daha küçük dosyaları şifreler ve daha büyük dosyalarda “MONTI” dizisinin varlığını kontrol eder. Dize eksikse, dosyaları şifreler.
- Yeni varyant, Salsa20’yi kullanan önceki varyanttan farklı olarak OpenSSL kitaplığından AES-256-CTR şifreleme yöntemini kullanır.
- 1.048MB ile 4.19MB arasındaki boyutlardaki dosyaların yalnızca ilk 100.000 baytı şifrelenirken, 1.048MB’den küçük dosyalar tamamen şifrelenir.
- 4,19 MB boyutunu aşan dosyaların içeriğinin bir kısmı, Sağa Kaydırma işlemiyle hesaplanarak şifrelenir.
- Yeni değişken, şifrelenmiş dosyalara .MONTI uzantısını ekler ve işlediği her dizinde bir fidye notu (‘readme.txt’) oluşturur.
Araştırmacılar, koddaki öne çıkan noktalardan birinin, Monti fidye yazılımı saldırılarını tanımlamayı ve hafifletmeyi daha zor hale getiren gelişmiş tespitten kaçma yeteneği olduğunu söylüyor.
Monti fidye yazılımı arka planı
İlk fark edilen Kötü Amaçlı Yazılım Avcısı Ekibi Haziran 2022’de ve bir ay sonra BlackBerry tarafından halka açık bir şekilde belgelenen Monti fidye yazılımı, Ukraynalı bir araştırmacının sızdırılmasının ardından kodunun çoğunu kullandığı için Conti’nin bir klonu olarak ortaya çıktı.
Eylül 2022’de bir Intel471 raporu, aynı ilk ağ erişim yöntemlerine dayalı olarak Monti’nin Conti’nin yeniden markası olma olasılığının arttığını vurguladı.
Ancak göreceli olması nedeniyle düşük saldırı hacmiOcak 2023’te Fortinet’in Linux kasalarının üstünkörü bir incelemesini sunan tek bir raporuyla, tehdit aktörü araştırmacıların çok fazla dikkatini çekmedi.
Çetenin üyeleri kendilerini siber suçlu veya yazılımlarını kötü niyetli olarak görmezler. Kullandıkları araçlara, kurumsal ağlardaki güvenlik sorunlarını ortaya çıkaran yardımcı programlar olarak atıfta bulunurlar ve saldırılarına para kazanmak istedikleri penetrasyon testi adını verirler. Mağdur şirket ödeme yapmazsa, veri sızdıran sitelerinde “Wall of Shame” adlı bir bölüm altında kurbanlarının adını yayınlıyor.
Faaliyetlerini açıklamak için kullanılan terimlere rağmen, Monti grubu diğer herhangi bir fidye yazılımı çetesi gibi davranıyor, şirket ağını ihlal ediyor, verileri çalıyor ve fidye istiyor.