Търсене
Close this search box.

Monti ransomware е насочен към сървъри VMware ESXi с нов Linux locker

След двумесечно прекъсване на публикуването на жертви на сайта за изтичане на данни бандата Monti се завърна, като използва нов Linux locker, за да се насочи към сървъри VMware ESXi, юридически и правителствени организации.

Изследователите от Trend Micro, които анализират новия инструмент за криптиране от Monti, установяват, че той има „значителни отклонения от другите си предшественици, базирани на Linux“.

Нов Linux локер

Предишните версии на локера на Monti бяха силно базирани (99%) на изтеклия код от рансъмуера Conti, но приликите в новия локер са само 29%.

Сред значителните промени, които Trend Micro наблюдава, са следните:

  • Премахване на параметрите „–size“, „–log“ и „-vmlist“ и добавяне на нов параметър „-type=soft“ за прекратяване на виртуални машини ESXi по по-незабележим начин, който е по-вероятно да избегне откриване.
  • Добавяне на параметър „–whitelist“, за да се инструктира блокчето да пропуска определени виртуални машини ESXi (VM) на хоста.
  • Модифициране на файловете ‘/etc/motd’ и ‘index.html’, за да се показва съдържанието на бележката за откуп при влизане на потребителя (Съобщение на деня).

 

  • Сега добавя байтовия подпис „MONTI“ заедно с допълнителни 256 байта, свързани с ключа за криптиране, към криптираните файлове.
  • Проверява дали размерът на файла е по-малък или по-голям от 261 байта, криптира по-малките файлове и проверява за наличието на низ „MONTI“ в по-големите. Ако низът липсва, той криптира файловете.
  • Новият вариант използва метода за криптиране AES-256-CTR от библиотеката OpenSSL, за разлика от предишния вариант, който използваше Salsa20.
  • При файлове с размери между 1,048 MB и 4,19 MB се криптират само първите 100 000 байта, докато файловете с размер по-малък от 1,048 MB се криптират изцяло.
  • Файловете, надвишаващи размера от 4,19 MB, ще имат криптирана част от съдържанието си, изчислена чрез операцията Shift Right.

  • Новият вариант добавя разширението .MONTI към криптираните файлове и генерира бележка за откуп („readme.txt“) във всяка директория, която обработва.

Според изследователите един от акцентите в кода е подобрената му способност да избягва откриване, което затруднява идентифицирането и смекчаването на атаките с ransomware Monti.

Предистория на рансъмуера Monti

Забелязан за първи път от MalwareHunterTeam през юни 2022 г. и документиран публично от BlackBerry месец по-късно, ransomware Monti изглежда като клонинг на Conti, тъй като използва по-голямата част от неговия код след изтичане на информация от украински изследовател.

През септември 2022 г. в доклад на Intel471 се подчертава повишената вероятност Monti да е ребранд на Conti въз основа на идентичните им първоначални методи за достъп до мрежата.

Въпреки това, поради сравнително малкия обем на атаките,  заплахата не привлече твърде много внимание от страна на изследователите, като само един доклад на Fortinet през януари 2023 г. предоставя бегло изследване на техния Linux контейнер.

Членовете на бандата не смятат себе си за киберпрестъпници, нито софтуера си за злонамерен. Те наричат инструментите, които използват, помощни програми, които разкриват проблеми със сигурността в корпоративните мрежи, и наричат атаките си тестване за проникване, за което искат да им се плаща. Ако компанията-жертва не плати, те публикуват имената на жертвите си на своя сайт за изтичане на данни, в раздел, наречен „Стена на срама“.

Въпреки термините, с които описват дейността си, групата Monti се държи като всяка друга банда за откуп – пробива фирмена мрежа, краде данни и иска откуп.

Инфографики и базова информация: Trend Micro

 

 

Източник: e-security.bg

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
12/04/2024

Oracle увеличава усилията с...

Техническият директор и председател на Oracle...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!