Monti fidye yazılımının arkasındaki tehdit aktörleri, hükümet ve hukuk sektörlerini hedef alan saldırılarında şifreleyicinin yeni bir Linux sürümüyle iki aylık bir aradan sonra yeniden ortaya çıktı.
Monti, Conti fidye yazılım grubunun faaliyetlerini durdurmasından haftalar sonra Haziran 2022’de ortaya çıkmış ve sızdırılan kaynak kodu da dahil olmak üzere Conti ile ilişkili taktik ve araçları kasıtlı olarak taklit etmişti. Artık öyle değil.
Trend Micro’ya göre yeni sürüm, diğer Linux tabanlı öncüllerinden önemli değişiklikler sergileyen bir tür sapma.
Trend Micro araştırmacıları Nathaniel Morales ve Joshua Paul Ignacio, “Öncelikle sızdırılan Conti kaynak koduna dayanan önceki varyantın aksine, bu yeni sürüm ek farklı davranışlara sahip farklı bir şifreleyici kullanıyor” dedi.
Bir BinDiff analizi, eski yinelemelerin Conti ile %99 benzerlik oranına sahipken, en son sürümün yalnızca %29 benzerlik oranına sahip olduğunu ve bunun bir revizyona işaret ettiğini ortaya koydu.
Önemli değişikliklerden bazıları, dolaba bir sanal makine listesini atlama talimatı vermek için bir ‘–whitelist’ parametresinin eklenmesinin yanı sıra –size, –log ve –vmlist komut satırı argümanlarının kaldırılmasıdır.
Linux varyantı ayrıca fidye notunu görüntülemek için motd (diğer adıyla günün mesajı) dosyasıyla oynayacak, Salsa20 yerine AES-256-CTR şifreleme kullanacak ve şifreleme işlemi için yalnızca dosya boyutuna güvenecek şekilde tasarlanmıştır.
Başka bir deyişle, 1,048 MB’den büyük ancak 4,19 MB’den küçük dosyaların yalnızca ilk 100.000 (0xFFFFF) baytı şifrelenirken, 4,19 MB’yi aşanların içeriğinin bir kısmı Shift Right işleminin sonucuna bağlı olarak kilitlenir.
Boyutu 1.048 MB’den küçük olan dosyaların tüm içeriği şifrelenecektir.
Araştırmacılar, “Monti’nin arkasındaki tehdit aktörlerinin, bazı benzer işlevlerden de anlaşılacağı üzere, Conti kaynak kodunun bazı kısımlarını yeni varyant için temel olarak kullanmış olmaları muhtemeldir, ancak kodda – özellikle şifreleme algoritmasında – önemli değişiklikler yapmışlardır” dedi.
“Dahası, Monti’nin operatörleri kodu değiştirerek tespitten kaçma becerisini geliştiriyor ve kötü niyetli faaliyetlerinin tespit edilmesini ve azaltılmasını daha da zorlaştırıyor.”
