Il ritorno del ransomware Monti: più evasivo e attivo anche su Linux

Dopo un paio di mesi di calma apparente, il ransomware noto come Monti è tornato a mietere vittime.

L’ultima versione dell’agente malevolo, secondo Trend Micro, si propone con alcune sostanziali differenze rispetto al passato. La prima, e più evidente, riguarda il focus: la variante più recente, infatti, va a colpire in prevalenza l’ambiente Linux, con attacchi rivolti verso settore legale ed enti governativi. I cambiamenti, però, non finiscono di certo qui.

Stando i ricercatori Nathaniel Morales e Joshua Paul Ignacio, infatti “A differenza della variante precedente, che si basa principalmente sul codice sorgente Conti trapelato, questa nuova versione utilizza un crittografo diverso con comportamenti distinti aggiuntivi“.

Il ransomware in questione, individuato per la prima volta nel corso del mese di giugno 2022, sta denotando una notevole evoluzione. Secondo un’analisi di BinDiff, rivelato che mentre le iterazioni precedenti avevano un tasso di somiglianza del 99% con Conti, l’ultima versione ha visto questo valore scendere al 29%.

Ciò significa che l’agente malevolo è stato sottoposto a un pesante restyling, tanto che ha letteralmente “tagliato i ponti” con il suo passato.

Il ransomware Monti dice addio al passato e si trasforma in qualcosa di ancora più evasivo

La nuova variante Linux di Monti progettata per manomettere il file motd, per visualizzare la nota di riscatto e per utilizzare la crittografia AES-256-CTR invece di Salsa20. Altro cambiamento rispetto al passato è l’affidamento esclusivo alla dimensione del file per eseguire il processo di crittografia.

Secondo i ricercatori “È probabile che gli autori delle minacce dietro Monti utilizzassero ancora parti del codice sorgente di Conti come base per la nuova variante, come evidenziato da alcune funzioni simili, ma abbiano implementato modifiche significative al codice, in particolare all’algoritmo di crittografia“.

Gli stessi hanno poi aggiunto come “Alterando il codice, gli operatori di Monti stanno migliorando la sua capacità di eludere il rilevamento, rendendo le loro attività dannose ancora più difficili da identificare e mitigare“.

A livello pratico, i file più grandi di 1,048 MB ma inferiori a 4,19 MB vedono solo i primi 100.000 byte di dati crittografati, mentre quelli che superano i 4,19 MB avranno una parte del loro contenuto bloccata a seconda dell’esito di un’operazione Shift Right . I file che hanno una dimensione inferiore a 1.048 MB, invece, sono completamente crittografati.