Được biết, nhóm bắt đầu hoạt động từ tháng 6/2022, ngay sau khi nhóm tin tặc Conti ngừng hoạt động. Các nhà nghiên cứu nhận thấy nhiều điểm tương đồng giữa TTP của hai nhóm tin tặc, những người điều hành Monti cũng dựa trên .
Theo Trend Micro, biến thể này khá khác so với phiên bản dựa trên trước đó "Một biến thể mới dựa trên Linux của Monti (Ransom.Linux.MONTI.THGOCBC) đã xuất hiện, cho thấy những khác biệt đáng kể so với các phiên bản tiền nhiệm dựa trên Linux khác của nó. Không giống như biến thể trước đó, chủ yếu dựa trên mã nguồn Conti bị rò rỉ, phiên bản mới này sử dụng một bộ mã hóa khác với nhiều khác biệt được bổ sung".
Các nhà nghiên cứu đã so sánh biến thể mới với biến thể cũ bằng cách sử dụng BinDiff và phát hiện ra tỷ lệ tương đồng là 29% so với tỷ lệ tương đồng 99% của các biến thể cũ hơn và Conti. Biến thể Linux mới của bộ mã hóa không chấp nhận một số thông tin từ biến thể cũ và được bổ sung thêm tham số –whitelist, được sử dụng để tránh mã hóa máy ảo. Các nhà nghiên cứu cũng quan sát thấy rằng nhóm tin tặc cũng can thiệp vào các tệp /etc/motd và index.html, thay thế nội dung của chúng bằng một ghi chú đòi tiền chuộc.
Thông báo của nhóm tin tặc Monti để lại ghi chú đòi tiền chuộc
Bộ mã hóa Linux mới nối thêm các byte “MONTI” theo sau là 256 byte bổ sung được liên kết với khóa mã hóa. Biến thể Linux mới sử dụng mã hóa AES-256-CTR thay vì Salsa20. Các nhà nghiên cứu cũng phát hiện ra rằng biến thể mới không giống như phiên bản trước sử dụng đối số –size để xác định phần trăm tệp được mã hóa mà chỉ dựa vào kích thước tệp cho quy trình mã hóa của nó.
Trước khi tiến hành quy trình mã hóa, mã độc tống tiền sẽ kiểm tra các điều kiện cụ thể. Đầu tiên, chúng kiểm tra kích thước tệp có từ 261 byte trở xuống hay không, tương ứng với kích thước của dấu hiệu lây nhiễm mà nó thêm vào sau khi mã hóa. Nếu điều kiện này được đáp ứng, nó sẽ chỉ ra rằng tệp không được mã hóa do kích thước của nó nhỏ hơn điểm đánh dấu lây nhiễm được thêm vào, sau đó phần mềm tống tiền sẽ tiếp tục quá trình lây nhiễm.
Nếu điều kiện ban đầu không được đáp ứng thì Monti sẽ kiểm tra 261 byte cuối cùng của tệp để xác minh sự hiện diện của chuỗi “MONTI”. Nếu chuỗi này được phát hiện, tệp sẽ bị bỏ qua, biểu thị rằng nó đã được mã hóa. Tuy nhiên, nếu không tìm thấy chuỗi, phần mềm độc hại sẽ tiến hành quá trình mã hóa cho tệp.
Các tệp lớn hơn 1.048 MB nhưng nhỏ hơn 4.19 MB sẽ chỉ có 100.000 byte đầu tiên của tệp được mã hóa. Đối với các tệp lớn hơn 4.19 MB, bộ mã hóa sử dụng thao tác Shift Right để tính toán tổng kích thước của tệp sẽ được mã hóa. Trong khi đó, các tệp có kích thước nhỏ hơn 1.048 MB sẽ được mã hóa toàn bộ nội dung.
Các chuyên gia cho biết: "Có vẻ như nhóm tin tặc Monti vẫn sử dụng các phần của mã nguồn Conti làm cơ sở cho biến thể mới, bằng chứng là một số chức năng tương tự, nhưng đã thực hiện các thay đổi quan trọng đối với mã, đặc biệt là đối với thuật toán mã hóa. Hơn nữa, bằng cách thay đổi mã, những người điều hành Monti đang tăng cường khả năng tránh bị phát hiện, khiến các hoạt động độc hại của chúng trở nên khó xác định và giảm thiểu bị phát hiện”.
Dương Trường
17:00 | 11/08/2023
13:00 | 20/09/2023
14:00 | 04/08/2023
07:00 | 28/07/2023
08:00 | 17/05/2024
Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024