Monti Ransomware gang launched a new Linux encryptor
2023/08/15 SecurityAffairs — Monti ランサムウェアのオペレーターが、2ヶ月の休みを経て、暗号化ソフトを刷新した Linux バージョンを携えて戻ってきた。この亜種は、政府や司法の組織を狙った攻撃で使用されている。 Monti グループは、Conti ランサムウェア・ギャングが活動を停止した直後の、2022年6月から活動を開始している。研究者たちは、この2つのギャングの TTP に、複数の類似点があることに気づいた。つまり、Monti のオペレータも、Conti から流出したソースコード・ベースにして暗号化を行っていたのだ。
Trend Micro によると、以前の Linuxベースのバージョンと、今回の亜種は大きく異なっているという。
同社は、「Monti の新しい Linuxベース亜種 (Ransom.Linux.MONTI.THGOCBC) が出現したが、これまでの Linux ベースとは大きく異なっている。以前の、リークされたConti ソースコードにも続く亜種とは異なり、このバージョンは新たな仕組みの暗号化機能を採用している」と指摘している。
研究者たちは BinDiff を用いて、新旧の亜種を比較した。古い亜種と Conti の99% の類似率を持つが、それとは 対照的に、新たしい亜種では 29% だった。
Linux ecryptor の新しい亜種には、古い亜種から継承しない引数もあり、また、仮想マシンの暗号化を排除する使用される、-whitelist パラメータを追加している。
| ARGUMENT | DESCRIPTION |
|---|---|
| –help | Displays arguments usage |
| –path | Path to be encrypted |
| –whitelist | List of VMs to be skipped |
| –vmkill | Option to Kill virtual machine (VM) |
| –detach | Detach from terminal |
| –size | removed |
| –log | removed |
| –vmlist | removed |
研究者たちは、開発者が /etc/motd ファイルと index.html ファイルも改ざんし、その内容を身代金のメモに置き換えていることを確認した。
新しい Linux 暗号化プログラムは、”MONTI”というバイト列の後に、暗号化キーにリンクされた 256 Byte を追加している。
この 新しい Linux の亜種では、Salsa20 の代わりに AES-256-CTR 暗号化が使用されてる。また、暗号化さするファイルの割合を決定するために、以前のバージョンでは -size 引数が利用していたが、この新しい亜種では、ファイル・サイズのみに依存していることも、研究者はたちは発見した。
彼らのレポートには、「このランサムウェアは、暗号化ルーチンを実行する前に、特定の条件をチェックする。 まず、ファイル・サイズが 261 Byte 以下であるかどうかを確認する。このサイズは、暗号化後に追加される感染マーカーのサイズに相当する。 この条件が満たされた場合に、ファイルのサイズが追加された感染マーカーよりも小さいため、ファイルが暗号化されていないことを示し、ランサムウェアは感染プロセスを続行する。この初期条件が満たされない場合には、Monti はファイルの最後の 261 Byte をチェックして、文字列 “MONTI” の存在を確認する。 この文字列が検出されたファイルがスキップされるのは、すでに暗号化されていることを示すからだ。 ただし、文字列が見つからない場合に、マルウェアはファイルの暗号化プロセスを続行する」と記されている。
1.048MB より大きく、4.19MB より小さいファイルは、ファイルの最初の 100,000 (0xFFFFF) Byte のみが暗号化される。4.19MB を超えるファイルについては、暗号化するファイルの合計サイズを計算するために、暗号化装置は右シフト操作を行いう。その一方で、1.048MB より小さいサイズのファイルは、すべてのコンテンツが暗号化されるという。
研究者たちは、「Monti を操る脅威アクターは、いくつかの類似した機能から判るように、新しい亜種のベースとして Conti ソースコードの一部を、依然として使用している可能性が高い。ただし、特に暗号化アルゴリズムにおいては、大きな変更を実装している。さらに、コードを変更することで、Monti は検出を回避能力を強化し、悪意の活動の特定を困難にしている」と締め括っている。
Conti がいなくなってから、すでに1年以上が経っているのですね。このブログ内を検索してみたら、2022/05/19 に「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」という記事がありました。今日の記事を読んでいると、この1年間での、ランサムウェアに進化が見えてきます。よろしければ、以下の関連記事も、ご参照ください。
2022/06/23:Conti 解体新書:グローバル RaaS 産業に成長
2022/05/19:Conti ランサムウェアの解体と分散化:リブランドの状況は?
2022/04/14:研究者たちが Conti に逆侵入:データ強奪犯 Karakurt も捕捉
IoT OT Security News 
You must be logged in to post a comment.