Monti rinnova il suo arsenale. Il malware per Linux converge con il codice di Conti per il 29%

Il ransomware Monti, scoperto nel giugno 2022, ha attirato l’attenzione degli esperti di sicurezza informatica per la sua somiglianza con il noto software Conti. La somiglianza si esprime non solo nel nome, ma anche nelle tattiche utilizzate dagli attaccanti.

Il gruppo, operante sotto lo pseudonimo di “Monti”, ha utilizzato attivamente tattiche e strumenti simili a Conti. I criminali hanno persino sfruttato il codice sorgente Conti trapelato nel loro programma, il che ha causato preoccupazioni giustificate tra gli esperti di sicurezza informatica.

Di recente, gli hacker hanno rilasciato un aggiornamento, dopo il quale i governi e le istituzioni legali sono diventati il ​​loro nuovo obiettivo. Ciò ha aumentato ulteriormente il livello di ansia.

La nuova versione di Monti per Linux ha mostrato solo il 29% di somiglianza con quella vecchia. In confronto, le prime versioni erano identiche al 99%.

Il ransomware aggiornato accetta nuovi comandi e contiene un ransomware modificato. Le innovazioni sono probabilmente volte a eludere i sistemi di sicurezza e gli antivirus.

Una caratteristica della nuova versione di Monti è un indicatore di infezione che contrassegna i file infetti. Il software aggiunge agli oggetti l’etichetta “MONTI” e ulteriori 256 byte associati alla chiave di cifratura.

Se la dimensione del file risultante è inferiore o uguale a 261 byte, il malware avvia la codifica. Se negli ultimi 261 byte viene trovata la stringa “MONTI”, il file viene saltato.

Sulla base dell’analisi, è emerso che il programma utilizza la crittografia AES-256-CTR invece della Salsa20 utilizzata in precedenza.

I ricercatori hanno anche scoperto che la nuova variante determina quale parte del file codificare in base alle sue dimensioni. La tattica non è come la versione precedente, che definiva il bersaglio con un argomento aggiuntivo.

Tutti i file compromessi ricevono l’estensione .monti. Inoltre, in ogni directory rimane una richiesta di riscatto.

Durante l’analisi dei campioni, gli esperti hanno trovato un codice di decrittazione. Potrebbe indicare che gli aggressori hanno testato il loro prodotto prima del rilascio. Nonostante le modifiche, Monti utilizza ancora parti del codice sorgente di Conti.

Nonostante tutti questi indizi, non esiste una prova definitiva che Monti e Conti abbiano lo stesso committente o che appartengano allo stesso gruppo. Le conclusioni si basano sull’analisi e sul confronto di campioni di software e sul loro comportamento, quindi saranno necessarie ulteriori ricerche per trarre conclusioni più convincenti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.