Được biết, nhóm tin tặc bắt đầu hoạt động từ tháng 6/2022, ngay sau khi nhóm tin tặc Conti ngừng hoạt động. Các nhà nghiên cứu nhận thấy nhiều điểm tương đồng giữa TTP của hai nhóm tin tặc, những người điều hành Monti cũng dựa trên bộ mã nguồn bị rò rỉ của Conti.
Theo Trend Micro, biến thể này khá khác so với phiên bản dựa trên Linux trước đó "Một biến thể mới dựa trên Linux của Monti (Ransom.Linux.MONTI.THGOCBC) đã xuất hiện, cho thấy những khác biệt đáng kể so với các phiên bản tiền nhiệm dựa trên Linux khác của nó. Không giống như biến thể trước đó, chủ yếu dựa trên mã nguồn Conti bị rò rỉ, phiên bản mới này sử dụng một bộ mã hóa khác với nhiều khác biệt được bổ sung".
Các nhà nghiên cứu đã so sánh biến thể mới với biến thể cũ bằng cách sử dụng BinDiff và phát hiện ra tỷ lệ tương đồng là 29% so với tỷ lệ tương đồng 99% của các biến thể cũ hơn và Conti. Biến thể Linux mới của bộ mã hóa không chấp nhận một số thông tin từ biến thể cũ và được bổ sung thêm tham số –whitelist, được sử dụng để tránh mã hóa máy ảo. Các nhà nghiên cứu cũng quan sát thấy rằng nhóm tin tặc cũng can thiệp vào các tệp /etc/motd và index.html, thay thế nội dung của chúng bằng một ghi chú đòi tiền chuộc.
Thông báo của nhóm tin tặc Monti để lại ghi chú đòi tiền chuộc
Bộ mã hóa Linux mới nối thêm các byte “MONTI” theo sau là 256 byte bổ sung được liên kết với khóa mã hóa. Biến thể Linux mới sử dụng mã hóa AES-256-CTR thay vì Salsa20. Các nhà nghiên cứu cũng phát hiện ra rằng biến thể mới không giống như phiên bản trước sử dụng đối số –size để xác định phần trăm tệp được mã hóa mà chỉ dựa vào kích thước tệp cho quy trình mã hóa của nó.
Trước khi tiến hành quy trình mã hóa, mã độc tống tiền sẽ kiểm tra các điều kiện cụ thể. Đầu tiên, chúng kiểm tra kích thước tệp có từ 261 byte trở xuống hay không, tương ứng với kích thước của dấu hiệu lây nhiễm mà nó thêm vào sau khi mã hóa. Nếu điều kiện này được đáp ứng, nó sẽ chỉ ra rằng tệp không được mã hóa do kích thước của nó nhỏ hơn điểm đánh dấu lây nhiễm được thêm vào, sau đó phần mềm tống tiền sẽ tiếp tục quá trình lây nhiễm.
Nếu điều kiện ban đầu không được đáp ứng thì Monti sẽ kiểm tra 261 byte cuối cùng của tệp để xác minh sự hiện diện của chuỗi “MONTI”. Nếu chuỗi này được phát hiện, tệp sẽ bị bỏ qua, biểu thị rằng nó đã được mã hóa. Tuy nhiên, nếu không tìm thấy chuỗi, phần mềm độc hại sẽ tiến hành quá trình mã hóa cho tệp.
Các tệp lớn hơn 1.048 MB nhưng nhỏ hơn 4.19 MB sẽ chỉ có 100.000 byte đầu tiên của tệp được mã hóa. Đối với các tệp lớn hơn 4.19 MB, bộ mã hóa sử dụng thao tác Shift Right để tính toán tổng kích thước của tệp sẽ được mã hóa. Trong khi đó, các tệp có kích thước nhỏ hơn 1.048 MB sẽ được mã hóa toàn bộ nội dung.
Các chuyên gia cho biết: "Có vẻ như nhóm tin tặc Monti vẫn sử dụng các phần của mã nguồn Conti làm cơ sở cho biến thể mới, bằng chứng là một số chức năng tương tự, nhưng đã thực hiện các thay đổi quan trọng đối với mã, đặc biệt là đối với thuật toán mã hóa. Hơn nữa, bằng cách thay đổi mã, những người điều hành Monti đang tăng cường khả năng tránh bị phát hiện, khiến các hoạt động độc hại của chúng trở nên khó xác định và giảm thiểu bị phát hiện”.
Dương Trường
17:00 | 11/08/2023
13:00 | 20/09/2023
14:00 | 04/08/2023
07:00 | 28/07/2023
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024