Los actores de amenazas detrás del ransomware Monti han resurgido después de
una pausa de dos meses con una nueva versión de Linux del cifrador en
sus ataques dirigidos a los sectores gubernamentales y legales.
Monti surgió en junio de 2022, semanas después de que el grupo de ransomware Conti cerrara sus
operaciones, imitando deliberadamente las tácticas y herramientas asociadas
con este último, incluido su código fuente filtrado.
La nueva versión, según Trend Micro, es una especie de fork y muestra
cambios significativos con respecto a sus otros predecesores basados en Linux.
«A diferencia de la variante anterior, que se basa principalmente en el
código fuente filtrado de Conti, esta nueva versión emplea un cifrado
diferente con comportamientos distintos y adicionales»,
dijeron los investigadores de Trend Micro Nathaniel Morales y Joshua Paul
Ignacio.
Un
análisis de BinDiff ha revelado
que, si bien las iteraciones anteriores tenían una tasa de similitud del 99%
con Conti, la última versión tiene sólo una tasa de similitud del 29%, lo que
sugiere una revisión muy grande.
Algunos de los cambios cruciales incluyen la adición de un parámetro
‘–whitelist’ para indicarle que omita una lista de máquinas virtuales,
así como la eliminación de los argumentos de la línea de comandos
–size, –log y –vmlist.
La variante de Linux también está diseñada para alterar el archivo
motd (también conocido como aka Message of the Day (aka Message of the
Day)
para mostrar la nota de rescate. Ahora emplea cifrado AES-256-CTR en lugar de
Salsa20 y confia únicamente en el tamaño del archivo para su proceso de
cifrado.
En otras palabras, los archivos de más de 1.048 MB pero de menos de 4,19 MB
solo tendrán cifrados los primeros 100.000 (0xFFFFF) bytes, mientras que
aquellos que excedan los 4,19 MB tendrán una parte de su contenido bloqueado
dependiendo del resultado de una operación de desplazamiento a la derecha. Los
archivos que tengan un tamaño inferior a 1.048 MB tendrán todo su contenido
cifrado.
«Es probable que los actores de amenazas detrás de Monti todavía emplearan
partes del código fuente de Conti como base para la nueva variante, como lo
demuestran algunas funciones similares, pero implementaron cambios
significativos en el código, especialmente en el algoritmo de cifrado», dijeron los investigadores.
«Además, al alterar el código, los operadores de Monti están mejorando su
capacidad para evadir la detección, haciendo que sus actividades maliciosas
sean aún más difíciles de identificar y mitigar».
Fuente:
THN
Los comentarios están cerrados.