Monti ransomware-kollektivet er genopstået med et fornyet fokus på juridiske og statslige enheder. Samtidig har de introduceret en ny Linux-baseret variant af Monti, som udviser betydelige afvigelser fra sine forgængere.

Hvad er Monti ransomware?

Oprindeligt opdaget tilbage i juni 2022, Monti ransomware, der kan prale af både Windows- og Linux-versioner, tiltrak sig opmærksomhed på grund af dens uhyggelige lighed med den berygtede Conti ransomware, ikke kun i navn, men også i dens taktik og teknikker. Gruppen, der opererede under navnet "Monti", efterlignede med vilje de velkendte taktikker, teknikker og procedurer (TTP'er), der blev brugt af Conti-teamet, ved at inkorporere mange af deres værktøjer og endda bruge lækket Conti-kildekode. Siden dens fremkomst har Monti-gruppen konsekvent målrettet organisationer og afsløret deres ofre på et lækagested.

Efter to måneders pause fra at afsløre ofre på deres lækagested, har Monti ransomware-gruppen genoptaget deres ondsindede aktiviteter, denne gang koncentreret om juridiske og statslige institutioner. Sideløbende med denne genopblussen er en ny Linux-baseret variant af Monti (Ransom.Linux.MONTI.THGOCBC) dukket op, hvilket viser væsentlige forskelle fra sine forgængere. I modsætning til den tidligere variant, som var stærkt afhængig af den lækkede Conti-kildekode, anvender denne nye version en særskilt kryptering med yderligere unik adfærd. Indtil videre har kun tre sikkerhedsleverandører identificeret prøven som ondsindet på VirusTotal.

Når vi sammenlignede den nye variant med den gamle ved hjælp af BinDiff, opdagede vi, at de kun deler en lighedsrate på 29 % i modsætning til lighedsprocenten på 99 % mellem de ældre varianter og Conti.

Analyse af den nye Monti

Den nye Linux-variant accepterer forskellige kommandolinjeargumenter og udelader nogle fra dens ældre version, mens parameteren "--whitelist" introduceres. Nedenfor er en tabel, der fremhæver de tilføjede parametre med fed og fjernede parametre i kursiv. Ydermere bruger den aktuelle version parameteren "-type=blød" til at afslutte virtuelle maskiner og skifter fra den tidligere parameter "--type=hård". Denne ændring tyder på, at Monti-trusselsaktørerne kan have valgt en mindre sporbar tilgang, mens de udførte deres aktiviteter. Montis udviklere har også pillet ved filerne "/etc/motd" og "index.html" og erstattet deres indhold med en løsesum, der indikerer en vellykket infiltration. MOTD (Dagens besked) er en tekstmeddelelse, der vises, når en bruger logger på et Linux-operativsystem.

Monti's infektionsmarkør

En bemærkelsesværdig tilføjelse i denne nye variant er tilføjelsen af ​​bytes "MONTI" efterfulgt af yderligere 256 bytes knyttet til krypteringsnøglen, før man fortsætter med dens krypteringsrutine. Ransomwaren tjekker først, om filstørrelsen er 261 bytes eller mindre, svarende til størrelsen på den vedhæftede infektionsmarkør. Hvis denne betingelse er opfyldt, hvilket indikerer, at filen ikke er krypteret, fordi dens størrelse er mindre end den vedhæftede infektionsmarkør, fortsætter ransomwaren med infektionsprocessen.

Hvis startbetingelsen ikke er opfyldt, kontrollerer Monti de sidste 261 bytes af filen for at bekræfte tilstedeværelsen af ​​strengen "MONTI". Hvis strengen detekteres, springes filen over, hvilket indikerer, at den allerede er blevet krypteret. Men hvis strengen ikke findes, fortsætter malwaren med at kryptere filen. I modsætning til den tidligere variant anvender den nye ransomware AES-256-CTR-kryptering ved hjælp af evp_enc fra OpenSSL-biblioteket, i modsætning til Salsa20.

Derudover opdagede vi, at denne prøve anvender forskellige krypteringsmetoder til filer. I modsætning til den tidligere variant, som brugte et "--størrelse"-argument til at bestemme procentdelen af ​​filen, der skal krypteres, er denne nye variant udelukkende afhængig af filstørrelsen for dens krypteringsproces. Ransomwaren krypterer kun de første 100.000 (0xFFFFF) bytes af filer og tilføjer dens infektionsmarkør i slutningen, hvis filstørrelsen er mellem 1,048 MB og 4,19 MB. For filer, der overstiger 4,19 MB, bruges en Shift Right-operation til at beregne den samlede størrelse af den fil, der skal krypteres. Filer mindre end 1,048 MB har alt deres indhold krypteret. I lighed med tidligere varianter tilføjer den nye version filtypenavnet ".monti" til krypterede filer og indsætter en løsesumseddel "readme.txt" i hver mappe.

Under vores analyse faldt vi over en dekrypteringskode, der ser ud til at være en rest af test fra trusselsaktøren. Denne kode, selvom den er til stede, er i øjeblikket ineffektiv, da den kræver en privat nøgle, som kun er kendt af malware-forfatteren og ikke er forbundet med malwarens rutine. Derfor forbliver den i dvale og uudført.

Konklusion

Det er sandsynligt, at Monti-trusselsaktørerne har bevaret elementer af Conti-kildekoden som grundlaget for den nye variant, tydeligt i nogle delte funktioner. De har dog implementeret betydelige ændringer, især i krypteringsalgoritmen. Ved at ændre deres kode forbedrer Montis operatører deres evne til at undgå registrering, hvilket gør deres ondsindede aktiviteter endnu mere udfordrende at opdage og afbøde.

Organisationer rådes til at implementere robuste forsvarsstrategier, herunder databeskyttelsesprotokoller og sikkerhedskopierings- og gendannelsesprocedurer, for at beskytte deres systemer mod ransomware-angreb. Disse foranstaltninger sikrer datasikkerhed og mulighed for gendannelse selv i tilfælde af kryptering eller sletning.