Categorie
Sicurezza Informatica

Monti: attacco mirato ai VMware ESXi con Locker Linux

Tempo di lettura: 2 minuti. Il gruppo di ransomware Monti ritorna con un nuovo locker Linux, prendendo di mira i server VMware ESXi, organizzazioni legali e governative.

Tempo di lettura: 2 minuti.

Dopo una pausa di due mesi senza pubblicare vittime sul loro sito di perdite di dati, il gruppo di ransomware Monti è tornato in azione, utilizzando un nuovo locker Linux per colpire i server VMware ESXi.

Nuovo Locker Linux

Le versioni precedenti del locker Monti erano basate in gran parte (99%) sul codice trapelato dal ransomware Conti. Tuttavia, le somiglianze nel nuovo locker sono solo del 29%. Tra le modifiche significative osservate da Trend Micro ci sono:

  • Rimozione dei parametri ‘–size,’ ‘–log,’ e ‘–vmlist’ e aggiunta di un nuovo parametro ‘-type=soft’.
  • Aggiunta di un parametro ‘–whitelist’.
  • Modifica dei file ‘/etc/motd’ e ‘index.html’ per visualizzare il contenuto della nota di riscatto.
  • Appende la firma byte “MONTI” ai file cifrati.
  • Utilizza il metodo di cifratura AES-256-CTR della libreria OpenSSL.
  • Aggiunge l’estensione .MONTI ai file cifrati e genera una nota di riscatto (‘readme.txt’) in ogni directory che elabora.

Background del Ransomware Monti

Il ransomware Monti è stato individuato per la prima volta nel giugno 2022 e documentato pubblicamente un mese dopo. Apparve come un clone di Conti, utilizzando la maggior parte del suo codice. Tuttavia, a causa del volume di attacco relativamente basso, l’attore della minaccia non ha attirato molta attenzione. I membri del gruppo non si considerano cybercriminali e si riferiscono ai loro attacchi come test di penetrazione.

Analisi di Trend Micro

Durante l’analisi dei campioni, i ricercatori hanno scoperto un codice di decrittografia che suggerisce che l’attore della minaccia stava testando la sua funzionalità. Tuttavia, il codice di decrittografia è attualmente inefficace poiché richiede una chiave privata nota solo all’autore del malware.

Conclusioni e Misure di Sicurezza

Gli attori dietro Monti hanno probabilmente utilizzato parti del codice sorgente di Conti come base per la nuova variante. È consigliabile che le organizzazioni adottino strategie di difesa efficaci, come l’implementazione dell’autenticazione multifattore e l’adesione alla guida 3-2-1 per la creazione di backup.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version