Monti и Conti: новая звездная пара в мире кибервымогательств или просто совпадение?

Вымогательская программа Monti, обнаруженная в июне 2022 года, привлекла внимание экспертов в области кибербезопасности из-за своего сходства с известным ПО Conti . Сходство выражается не только в названии, но и в тактике, которую используют злоумышленники.

Группа, оперирующая под псевдонимом «Monti», активно использовала тактики и инструменты, аналогичные Conti. Преступники даже эксплуатировали утечку исходного кода Conti в своей программе, что вызвало оправданные опасения у специалистов по кибербезопасности.

Недавно хакеры выпустили обновление, после чего их новой целью стали правительственные и юридические учреждения. Это подняло уровень тревоги еще выше.

Новый вариант Monti для Linux показал схожесть со старым всего на 29%. Для сравнения, ранние версии были на 99% идентичны.

Обновленный «вымогатель» принимает новые команды и содержит измененный шифровальщик. Нововведения, вероятно, направлены на уклонение от систем безопасности и антивирусов.

Особенность нового варианта Monti - маркер заражения, которым помечаются инфицированные файлы. ПО добавляет к объектам метку «MONTI» и дополнительные 256 байт, связанные с ключом шифрования.

Если в итоге размер файла меньше или равен 261 байту, вредонос приступает к кодированию. Если обнаружена строка «MONTI» в последних 261 байтах, файл пропускается.

На основе проведенного анализа выяснилось, что программа использует шифрование AES-256-CTR вместо ранее использовавшегося Salsa20.

Также исследователи обнаружили, что новый вариант определяет, какую часть файла кодировать, на основе его размера. Тактика не похожа на предыдущую версию, которая определяла цель с помощью дополнительного аргумента.

Все скомпрометированные файлы получают расширение .monti. Кроме того, остается заметка с требованием выкупа в каждом каталоге.

При анализе образцов специалисты нашли код дешифровки. Он может указывать на то, что злоумышленники тестировали свой продукт перед выпуском. Несмотря на изменения, Monti все еще использует части исходного кода Conti.

Компания Trend Micro предлагает решения для защиты организаций от подобных угроз. Рекомендации предоставляют многоуровневую защиту от потенциальных атак.

Несмотря на все эти улики, окончательного доказательства того, что Monti и Conti имеют одного и того же разработчика или что они принадлежат одной и той же группе - нет. Выводы основаны на анализе и сравнении образцов программного обеспечения и их поведения, поэтому для более убедительных выводов потребуются дополнительные исследования.