Được biết, nhóm tin tặc bắt đầu hoạt động từ tháng 6/2022, ngay sau khi nhóm tin tặc Conti ngừng hoạt động. Các nhà nghiên cứu nhận thấy nhiều điểm tương đồng giữa TTP của hai nhóm tin tặc, những người điều hành Monti cũng dựa trên bộ mã nguồn bị rò rỉ của Conti.
Theo Trend Micro, biến thể này khá khác so với phiên bản dựa trên Linux trước đó "Một biến thể mới dựa trên Linux của Monti (Ransom.Linux.MONTI.THGOCBC) đã xuất hiện, cho thấy những khác biệt đáng kể so với các phiên bản tiền nhiệm dựa trên Linux khác của nó. Không giống như biến thể trước đó, chủ yếu dựa trên mã nguồn Conti bị rò rỉ, phiên bản mới này sử dụng một bộ mã hóa khác với nhiều khác biệt được bổ sung".
Các nhà nghiên cứu đã so sánh biến thể mới với biến thể cũ bằng cách sử dụng BinDiff và phát hiện ra tỷ lệ tương đồng là 29% so với tỷ lệ tương đồng 99% của các biến thể cũ hơn và Conti. Biến thể Linux mới của bộ mã hóa không chấp nhận một số thông tin từ biến thể cũ và được bổ sung thêm tham số –whitelist, được sử dụng để tránh mã hóa máy ảo. Các nhà nghiên cứu cũng quan sát thấy rằng nhóm tin tặc cũng can thiệp vào các tệp /etc/motd và index.html, thay thế nội dung của chúng bằng một ghi chú đòi tiền chuộc.
Thông báo của nhóm tin tặc Monti để lại ghi chú đòi tiền chuộc
Bộ mã hóa Linux mới nối thêm các byte “MONTI” theo sau là 256 byte bổ sung được liên kết với khóa mã hóa. Biến thể Linux mới sử dụng mã hóa AES-256-CTR thay vì Salsa20. Các nhà nghiên cứu cũng phát hiện ra rằng biến thể mới không giống như phiên bản trước sử dụng đối số –size để xác định phần trăm tệp được mã hóa mà chỉ dựa vào kích thước tệp cho quy trình mã hóa của nó.
Trước khi tiến hành quy trình mã hóa, mã độc tống tiền sẽ kiểm tra các điều kiện cụ thể. Đầu tiên, chúng kiểm tra kích thước tệp có từ 261 byte trở xuống hay không, tương ứng với kích thước của dấu hiệu lây nhiễm mà nó thêm vào sau khi mã hóa. Nếu điều kiện này được đáp ứng, nó sẽ chỉ ra rằng tệp không được mã hóa do kích thước của nó nhỏ hơn điểm đánh dấu lây nhiễm được thêm vào, sau đó phần mềm tống tiền sẽ tiếp tục quá trình lây nhiễm.
Nếu điều kiện ban đầu không được đáp ứng thì Monti sẽ kiểm tra 261 byte cuối cùng của tệp để xác minh sự hiện diện của chuỗi “MONTI”. Nếu chuỗi này được phát hiện, tệp sẽ bị bỏ qua, biểu thị rằng nó đã được mã hóa. Tuy nhiên, nếu không tìm thấy chuỗi, phần mềm độc hại sẽ tiến hành quá trình mã hóa cho tệp.
Các tệp lớn hơn 1.048 MB nhưng nhỏ hơn 4.19 MB sẽ chỉ có 100.000 byte đầu tiên của tệp được mã hóa. Đối với các tệp lớn hơn 4.19 MB, bộ mã hóa sử dụng thao tác Shift Right để tính toán tổng kích thước của tệp sẽ được mã hóa. Trong khi đó, các tệp có kích thước nhỏ hơn 1.048 MB sẽ được mã hóa toàn bộ nội dung.
Các chuyên gia cho biết: "Có vẻ như nhóm tin tặc Monti vẫn sử dụng các phần của mã nguồn Conti làm cơ sở cho biến thể mới, bằng chứng là một số chức năng tương tự, nhưng đã thực hiện các thay đổi quan trọng đối với mã, đặc biệt là đối với thuật toán mã hóa. Hơn nữa, bằng cách thay đổi mã, những người điều hành Monti đang tăng cường khả năng tránh bị phát hiện, khiến các hoạt động độc hại của chúng trở nên khó xác định và giảm thiểu bị phát hiện”.
Dương Trường
17:00 | 11/08/2023
13:00 | 20/09/2023
14:00 | 04/08/2023
07:00 | 28/07/2023
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024