Được biết, nhóm tin tặc bắt đầu hoạt động từ tháng 6/2022, ngay sau khi nhóm tin tặc Conti ngừng hoạt động. Các nhà nghiên cứu nhận thấy nhiều điểm tương đồng giữa TTP của hai nhóm tin tặc, những người điều hành Monti cũng dựa trên bộ mã nguồn bị rò rỉ của Conti.
Theo Trend Micro, biến thể này khá khác so với phiên bản dựa trên Linux trước đó "Một biến thể mới dựa trên Linux của Monti (Ransom.Linux.MONTI.THGOCBC) đã xuất hiện, cho thấy những khác biệt đáng kể so với các phiên bản tiền nhiệm dựa trên Linux khác của nó. Không giống như biến thể trước đó, chủ yếu dựa trên mã nguồn Conti bị rò rỉ, phiên bản mới này sử dụng một bộ mã hóa khác với nhiều khác biệt được bổ sung".
Các nhà nghiên cứu đã so sánh biến thể mới với biến thể cũ bằng cách sử dụng BinDiff và phát hiện ra tỷ lệ tương đồng là 29% so với tỷ lệ tương đồng 99% của các biến thể cũ hơn và Conti. Biến thể Linux mới của bộ mã hóa không chấp nhận một số thông tin từ biến thể cũ và được bổ sung thêm tham số –whitelist, được sử dụng để tránh mã hóa máy ảo. Các nhà nghiên cứu cũng quan sát thấy rằng nhóm tin tặc cũng can thiệp vào các tệp /etc/motd và index.html, thay thế nội dung của chúng bằng một ghi chú đòi tiền chuộc.
Thông báo của nhóm tin tặc Monti để lại ghi chú đòi tiền chuộc
Bộ mã hóa Linux mới nối thêm các byte “MONTI” theo sau là 256 byte bổ sung được liên kết với khóa mã hóa. Biến thể Linux mới sử dụng mã hóa AES-256-CTR thay vì Salsa20. Các nhà nghiên cứu cũng phát hiện ra rằng biến thể mới không giống như phiên bản trước sử dụng đối số –size để xác định phần trăm tệp được mã hóa mà chỉ dựa vào kích thước tệp cho quy trình mã hóa của nó.
Trước khi tiến hành quy trình mã hóa, mã độc tống tiền sẽ kiểm tra các điều kiện cụ thể. Đầu tiên, chúng kiểm tra kích thước tệp có từ 261 byte trở xuống hay không, tương ứng với kích thước của dấu hiệu lây nhiễm mà nó thêm vào sau khi mã hóa. Nếu điều kiện này được đáp ứng, nó sẽ chỉ ra rằng tệp không được mã hóa do kích thước của nó nhỏ hơn điểm đánh dấu lây nhiễm được thêm vào, sau đó phần mềm tống tiền sẽ tiếp tục quá trình lây nhiễm.
Nếu điều kiện ban đầu không được đáp ứng thì Monti sẽ kiểm tra 261 byte cuối cùng của tệp để xác minh sự hiện diện của chuỗi “MONTI”. Nếu chuỗi này được phát hiện, tệp sẽ bị bỏ qua, biểu thị rằng nó đã được mã hóa. Tuy nhiên, nếu không tìm thấy chuỗi, phần mềm độc hại sẽ tiến hành quá trình mã hóa cho tệp.
Các tệp lớn hơn 1.048 MB nhưng nhỏ hơn 4.19 MB sẽ chỉ có 100.000 byte đầu tiên của tệp được mã hóa. Đối với các tệp lớn hơn 4.19 MB, bộ mã hóa sử dụng thao tác Shift Right để tính toán tổng kích thước của tệp sẽ được mã hóa. Trong khi đó, các tệp có kích thước nhỏ hơn 1.048 MB sẽ được mã hóa toàn bộ nội dung.
Các chuyên gia cho biết: "Có vẻ như nhóm tin tặc Monti vẫn sử dụng các phần của mã nguồn Conti làm cơ sở cho biến thể mới, bằng chứng là một số chức năng tương tự, nhưng đã thực hiện các thay đổi quan trọng đối với mã, đặc biệt là đối với thuật toán mã hóa. Hơn nữa, bằng cách thay đổi mã, những người điều hành Monti đang tăng cường khả năng tránh bị phát hiện, khiến các hoạt động độc hại của chúng trở nên khó xác định và giảm thiểu bị phát hiện”.
Dương Trường
17:00 | 11/08/2023
13:00 | 20/09/2023
14:00 | 04/08/2023
07:00 | 28/07/2023
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
10:00 | 22/11/2023
Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024