Monti rinnova il suo arsenale. Il malware per Linux converge con il codice di Conti per il 29%

Redazione RHC : 20 Agosto 2023 11:46

Il ransomware Monti, scoperto nel giugno 2022, ha attirato l’attenzione degli esperti di sicurezza informatica per la sua somiglianza con il noto software Conti. La somiglianza si esprime non solo nel nome, ma anche nelle tattiche utilizzate dagli attaccanti.

Il gruppo, operante sotto lo pseudonimo di “Monti”, ha utilizzato attivamente tattiche e strumenti simili a Conti. I criminali hanno persino sfruttato il codice sorgente Conti trapelato nel loro programma, il che ha causato preoccupazioni giustificate tra gli esperti di sicurezza informatica.

Di recente, gli hacker hanno rilasciato un aggiornamento, dopo il quale i governi e le istituzioni legali sono diventati il ​​loro nuovo obiettivo. Ciò ha aumentato ulteriormente il livello di ansia.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La nuova versione di Monti per Linux ha mostrato solo il 29% di somiglianza con quella vecchia. In confronto, le prime versioni erano identiche al 99%.

Il ransomware aggiornato accetta nuovi comandi e contiene un ransomware modificato. Le innovazioni sono probabilmente volte a eludere i sistemi di sicurezza e gli antivirus.

Una caratteristica della nuova versione di Monti è un indicatore di infezione che contrassegna i file infetti. Il software aggiunge agli oggetti l’etichetta “MONTI” e ulteriori 256 byte associati alla chiave di cifratura.

Se la dimensione del file risultante è inferiore o uguale a 261 byte, il malware avvia la codifica. Se negli ultimi 261 byte viene trovata la stringa “MONTI”, il file viene saltato.

Sulla base dell’analisi, è emerso che il programma utilizza la crittografia AES-256-CTR invece della Salsa20 utilizzata in precedenza.

I ricercatori hanno anche scoperto che la nuova variante determina quale parte del file codificare in base alle sue dimensioni. La tattica non è come la versione precedente, che definiva il bersaglio con un argomento aggiuntivo.

Tutti i file compromessi ricevono l’estensione .monti. Inoltre, in ogni directory rimane una richiesta di riscatto.

Durante l’analisi dei campioni, gli esperti hanno trovato un codice di decrittazione. Potrebbe indicare che gli aggressori hanno testato il loro prodotto prima del rilascio. Nonostante le modifiche, Monti utilizza ancora parti del codice sorgente di Conti.

Nonostante tutti questi indizi, non esiste una prova definitiva che Monti e Conti abbiano lo stesso committente o che appartengano allo stesso gruppo. Le conclusioni si basano sull’analisi e sul confronto di campioni di software e sul loro comportamento, quindi saranno necessarie ulteriori ricerche per trarre conclusioni più convincenti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli