Monti 勒索软件带着新的 Linux 变体和增强的规避策略卷土重来

Monti 勒索软件背后的威胁行为者在针对政府和法律部门的攻击中使用新的 Linux 版本加密器中断两个月后重新浮出水面。

Monti于 2022 年 6 月出现，即 Conti 勒索软件组织关闭其运营几周后，故意模仿与后者相关的策略和工具，包括其泄露的源代码。不再。

根据趋势科技的说法，新版本在某种程度上是一种背离，与其他基于 Linux 的前身相比，它表现出了重大变化。

趋势科技研究人员 Nathaniel Morales 和 Joshua Paul Ignacio表示：“与主要基于泄露的 Conti 源代码的早期变体不同，这个新版本采用了不同的加密器，具有额外的独特行为。”

BinDiff分析显示，虽然旧版本与 Conti 的相似度为 99%，但最新版本的相似度仅为 29%，这表明需要进行彻底修改。

一些关键的更改包括添加“–whitelist”参数来指示储物柜跳过虚拟机列表，以及删除命令行参数 –size、–log 和 –vmlist。

Linux 变体还旨在篡改motd（又称每日消息）文件以显示勒索信息，采用 AES-256-CTR 加密而不是 Salsa20，并且仅依赖文件大小进行加密过程。

换句话说，大于 1.048 MB 但小于 4.19 MB 的文件将仅加密文件的前 100,000 (0xFFFFF) 字节，而超过 4.19 MB 的文件则根据右移操作的结果锁定其内容块。

小于 1.048 MB 的文件的所有内容都会被加密。

研究人员表示：“Monti 背后的威胁行为者很可能仍然使用部分 Conti 源代码作为新变种的基础，一些类似的功能就证明了这一点，但对代码进行了重大更改，尤其是加密算法。” 。

“此外，通过更改代码，Monti 的运营商正在增强其逃避检测的能力，使他们的恶意活动更难以识别和缓解。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7749.html