Los actores de amenazas detrás del ransomware Monti han resurgido después de un descanso de dos meses con una nueva versión de Linux del cifrado en sus ataques dirigidos a sectores gubernamentales y legales.
Monti surgió en junio de 2022, semanas después de que el grupo de ransomware Conti cerrara sus operaciones, imitando deliberadamente las tácticas y herramientas asociadas con este último, incluido su código fuente filtrado. Ya no.
La nueva versión, según Trend Micro, es una especie de salida, exhibiendo cambios significativos de sus otros predecesores basados en Linux.
“A diferencia de la variante anterior, que se basa principalmente en el código fuente filtrado de Conti, esta nueva versión emplea un cifrado diferente con comportamientos distintos adicionales”, dijeron los investigadores de Trend Micro Nathaniel Morales y Joshua Paul Ignacio.
Un análisis de BinDiff ha revelado que, si bien las iteraciones anteriores tenían una tasa de similitud del 99% con Conti, la última versión tiene solo una tasa de similitud del 29%, lo que sugiere una revisión.
Algunos de los cambios cruciales incluyen la adición de un parámetro ‘–whitelist’ para indicar a la caja de seguridad que omita una lista de máquinas virtuales, así como la eliminación de los argumentos de línea de comandos –size, –log y –vmlist.
La variante de Linux también está diseñada para alterar el archivo motd (también conocido como mensaje del día) para mostrar la nota de rescate, emplear el cifrado AES-256-CTR en lugar de Salsa20 y confiar únicamente en el tamaño del archivo para su proceso de cifrado.
En otras palabras, los archivos mayores de 1,048 MB pero menores de 4,19 MB sólo tendrán los primeros 100.000 (0xFFFFF) bytes del archivo cifrado, mientras que los que superan los 4,19 MB tienen una parte de su contenido bloqueado dependiendo de la salida de una operación Shift Right.
Los archivos que tienen un tamaño menor que 1,048 MB tendrán todo su contenido cifrado.
“Es probable que los actores de amenazas detrás de Monti todavía emplearan partes del código fuente de Conti como base para la nueva variante, como lo demuestran algunas funciones similares, pero implementaron cambios significativos en el código, especialmente en el algoritmo de cifrado”, dijeron los investigadores.
“Además, al alterar el código, los operadores de Monti están mejorando su capacidad para evadir la detección, lo que hace que sus actividades maliciosas sean aún más difíciles de identificar y mitigar”.
