Especialistas de la multinacional Trend Micro informaron que, los actores de amenazas vinculados al Ransomware Monti, surgido en junio de 2022, reaparecieron luego de una pausa de dos meses de ataques, esta vez, con una nueva versión basada en Linux dirigidos a sectores gubernamentales y legales.

Esta nueva versión, según los especialistas, tiene cambios significativos respecto a sus predecesores, ya que emplea un cifrador diferente con diversos comportamientos adicionales. Un análisis realizado por BinDiff reveló que, si bien, las interacciones anteriores tenían una tasa de similitud del 99 % con Conti (grupo de ransomware cerrado en sus operaciones semanas antes del surgimiento de Monti), la última versión solo tiene una tasa de similitud del 29 %, lo que sugiere una revisión.

Otro de los cambios incluye la adhesión de un parámetro ‘–whitelist’ para indicarle al casillero que omita una lista de máquinas virtuales, así como la eliminación de los argumentos de la línea de comandos —size, –log y –vmlist. A su vez, también sirve para manipular el archivo motd (también conocido como mensaje del día) donde se muestra la nota de rescate, empleando el cifrado AES-256-CTR con el fin de depender únicamente del tamaño del archivo en su proceso de cifrado.

En base lo expuesto, los archivos que tengan un tamaño inferior a 1.048 MB tendrán todo su contenido encriptado. Los que tengan más de 1,048 MB, pero menos de 4,19 MB, solo tendrán cifrados los primeros 100 000 (0xFFFFF) bytes del archivo, mientras que aquellos que excedan los 4,19 MB tendrán una parte de su contenido bloqueado dependiendo del resultado de la operación.

En conclusión, es probable que los actores detrás de Monti, aun utilicen parte del código fuente con el objetivo de emplear una base para esta nueva variante que, como se detalló, hicieron foco en el algoritmo de cifrado, además de alterar el código, acción estratégica que mejora su capacidad para evadir la detección, logrando que sus ataques sean difíciles de mitigar.

Fuente

https://thehackernews.com/2023/08/monti-ransomware-returns-with-new-linux.html