След двумесечно прекъсване на публикуването на жертви на сайта за изтичане на данни бандата Monti се завърна, като използва нов Linux locker, за да се насочи към сървъри VMware ESXi, юридически и правителствени организации.

Изследователите от Trend Micro, които анализират новия инструмент за криптиране от Monti, установяват, че той има „значителни отклонения от другите си предшественици, базирани на Linux“.

Нов Linux локер

Предишните версии на локера на Monti бяха силно базирани (99%) на изтеклия код от рансъмуера Conti, но приликите в новия локер са само 29%.

Сред значителните промени, които Trend Micro наблюдава, са следните:

• Премахване на параметрите „–size“, „–log“ и „-vmlist“ и добавяне на нов параметър „-type=soft“ за прекратяване на виртуални машини ESXi по по-незабележим начин, който е по-вероятно да избегне откриване.
• Добавяне на параметър „–whitelist“, за да се инструктира блокчето да пропуска определени виртуални машини ESXi (VM) на хоста.
• Модифициране на файловете ‘/etc/motd’ и ‘index.html’, за да се показва съдържанието на бележката за откуп при влизане на потребителя (Съобщение на деня).

• Сега добавя байтовия подпис „MONTI“ заедно с допълнителни 256 байта, свързани с ключа за криптиране, към криптираните файлове.
• Проверява дали размерът на файла е по-малък или по-голям от 261 байта, криптира по-малките файлове и проверява за наличието на низ „MONTI“ в по-големите. Ако низът липсва, той криптира файловете.
• Новият вариант използва метода за криптиране AES-256-CTR от библиотеката OpenSSL, за разлика от предишния вариант, който използваше Salsa20.
• При файлове с размери между 1,048 MB и 4,19 MB се криптират само първите 100 000 байта, докато файловете с размер по-малък от 1,048 MB се криптират изцяло.
• Файловете, надвишаващи размера от 4,19 MB, ще имат криптирана част от съдържанието си, изчислена чрез операцията Shift Right.

• Новият вариант добавя разширението .MONTI към криптираните файлове и генерира бележка за откуп („readme.txt“) във всяка директория, която обработва.

Според изследователите един от акцентите в кода е подобрената му способност да избягва откриване, което затруднява идентифицирането и смекчаването на атаките с ransomware Monti.

Предистория на рансъмуера Monti

Забелязан за първи път от MalwareHunterTeam през юни 2022 г. и документиран публично от BlackBerry месец по-късно, ransomware Monti изглежда като клонинг на Conti, тъй като използва по-голямата част от неговия код след изтичане на информация от украински изследовател.

През септември 2022 г. в доклад на Intel471 се подчертава повишената вероятност Monti да е ребранд на Conti въз основа на идентичните им първоначални методи за достъп до мрежата.

Въпреки това, поради сравнително малкия обем на атаките,  заплахата не привлече твърде много внимание от страна на изследователите, като само един доклад на Fortinet през януари 2023 г. предоставя бегло изследване на техния Linux контейнер.

Членовете на бандата не смятат себе си за киберпрестъпници, нито софтуера си за злонамерен. Те наричат инструментите, които използват, помощни програми, които разкриват проблеми със сигурността в корпоративните мрежи, и наричат атаките си тестване за проникване, за което искат да им се плаща. Ако компанията-жертва не плати, те публикуват имената на жертвите си на своя сайт за изтичане на данни, в раздел, наречен „Стена на срама“.

Въпреки термините, с които описват дейността си, групата Monti се държи като всяка друга банда за откуп – пробива фирмена мрежа, краде данни и иска откуп.

Инфографики и базова информация: Trend Micro