Monti ransomware arkasındakı təhlükə aktorları, hökumət və hüquq sahələrini hədəf alan hücumlarında şifrələyicinin yeni bir Linux versiyası ilə iki aylıq fasilədən sonra yenidən görünürləşdi.
Monti 2022-ci ilin iyununda, Conti ransomware qrupu fəaliyyətini dayandırdıqdan həftələr sonra ortaya çıxdı və Conti ilə əlaqəli taktika və alətləri, o cümlədən sızan mənbə kodunu qəsdən təqlid etdi. Artıq bu kimi deyil.
Trend Micro-nun məlumatına görə, yeni versiya əhəmiyyətli dəyişiklikləri əks etdirən digər Linux əsaslı sələflərindən bir növ sapmadır.
Trend Micro-nun tədqiqatçıları Nathaniel Morales və Joshua Paul Ignacio, “Əsasən sızan Conti mənbə koduna əsaslanan əvvəlki variantdan fərqli olaraq, bu yeni versiya əlavə fərqli davranışlara malik fərqli kodlayıcıdan istifadə edir”.
BinDiff təhlili göstərdi ki, köhnə iterasiyalar Conti ilə 99% oxşarlıq nisbətinə malik olsa da, ən son versiyada yalnız 29% oxşarlıq dərəcəsi var və bu, yenidən nəzərdən keçirildiyini göstərir.
Diqqətəlayiq dəyişikliklərdən bəziləri -size, -log və -vmlist əmr satırı arqumentlərinin silinməsi, həmçinin virtual maşınların siyahısını yan keçmək üçün şkafın təlimatlandırılması üçün “-whitelist” parametrinin əlavə edilməsidir.
Linux variantı həmçinin fidyə qeydini göstərmək, Salsa20 əvəzinə AES-256-CTR şifrələməsini istifadə etmək və şifrələmə üçün yalnız fayl ölçüsünə etibar etmək üçün motd (aka günün mesajı) faylı ilə oynamaq üçün nəzərdə tutulub.
Başqa sözlə, 1048 MB-dan böyük, lakin 4.19 MB-dan kiçik faylların yalnız ilk 100.000 (0xFFFFFF) baytı şifrələnir, 4.19 MB-dan çox olanların isə Shift Right əməliyyatının nəticəsindən asılı olaraq bəzi məzmunları kilidlənəcək.
Ölçüsü 1,048 MB-dan kiçik faylların bütün məzmunu şifrələnəcək.
“Ehtimal ki, Monti-nin arxasında duran təhlükə aktorları Conti mənbə kodunun hissələrini yeni variant üçün əsas kimi istifadə ediblər, bunu bəzi oxşar funksionallıq sübut edir, lakin onlar koda, xüsusən də şifrələmə alqoritminə əhəmiyyətli dəyişikliklər ediblər” dedi tədqiqatçılar.
“Bundan əlavə, Montinin operatorları kodu dəyişdirərək onun aşkarlanmadan yayınma qabiliyyətini yaxşılaşdırır və onun zərərli fəaliyyətinin aşkar edilməsini və təsirini azaltmağı daha da çətinləşdirir.”
