Monti fidye yazılımının arkasındaki tehdit aktörleri, hükümet ve hukuk sektörlerini hedef alan saldırılarında şifreleyicinin yeni bir Linux sürümüyle iki aylık bir aradan sonra yeniden ortaya çıktı.
Monti, Haziran 2022’de, Conti fidye yazılımı grubunun operasyonlarını durdurmasından haftalar sonra ortaya çıktı ve sızdırılan kaynak kodu da dahil olmak üzere ikincisiyle ilişkili taktikleri ve araçları kasıtlı olarak taklit etti. Artık değil.
Trend Micro’ya göre yeni sürüm, diğer Linux tabanlı öncüllerinden önemli değişiklikler sergileyen bir tür sapma.
Trend Micro araştırmacıları Nathaniel Morales ve Joshua Paul Ignacio, “Öncelikle sızan Conti kaynak koduna dayanan önceki değişkenin aksine, bu yeni sürüm, ek belirgin davranışlara sahip farklı bir şifreleyici kullanıyor.”
Bir BinDiff analizi, eski yinelemelerin Conti ile %99 benzerlik oranına sahipken, en son versiyonun yalnızca %29 benzerlik oranına sahip olduğunu ortaya çıkardı ve bu da bir elden geçirmeyi düşündürüyor.
Önemli değişikliklerden bazıları, dolaba sanal makinelerin bir listesini atlaması talimatını vermek için bir ‘–beyaz liste’ parametresinin eklenmesinin yanı sıra –size, –log ve –vmlist komut satırı argümanlarının kaldırılmasını içerir.
Linux varyantı ayrıca fidye notunu görüntülemek için motd (günün mesajı) dosyasını kurcalamak, Salsa20 yerine AES-256-CTR şifrelemesi kullanmak ve şifreleme işlemi için yalnızca dosya boyutuna güvenmek üzere tasarlanmıştır.
Başka bir deyişle, 1,048 MB’den büyük ancak 4,19 MB’den küçük dosyalar, dosyanın yalnızca ilk 100.000 (0xFFFFFF) baytını şifrelerken, 4,19 MB’yi aşan dosyaların içeriğinin bir kısmı, Sağa Kaydırma işleminin çıkışına bağlı olarak kilitlenir. .
1.048 MB’tan küçük boyutlu dosyaların tüm içerikleri şifrelenir.
Araştırmacılar, “Monti’nin arkasındaki tehdit aktörlerinin, bazı benzer işlevlerin kanıtladığı gibi, yeni varyant için temel olarak hala Conti kaynak kodunun bazı kısımlarını kullanması muhtemeldir, ancak kodda, özellikle şifreleme algoritmasında önemli değişiklikler uygulamıştır” dedi. .
“Ayrıca, Monti’nin operatörleri, kodu değiştirerek, tespit edilmekten kaçınma yeteneğini geliştiriyor ve kötü niyetli faaliyetlerini tespit etmeyi ve hafifletmeyi daha da zorlaştırıyor.”