Le gang de rançongiciels Monti est revenu, après une pause de deux mois dans la publication des victimes sur son site de fuite de données, en utilisant un nouveau casier Linux pour cibler les serveurs VMware ESXi, les organisations juridiques et gouvernementales.
Les chercheurs de Trend Micro analysant le nouvel outil de chiffrement de Monti ont découvert qu’il présentait « des écarts significatifs par rapport à ses autres prédécesseurs basés sur Linux ».
Nouveau casier Linux
Les versions précédentes du casier Monti étaient fortement basées (99%) sur le code divulgué du rançongiciel Conti, mais les similitudes dans le nouveau casier ne sont que de 29%.
Parmi les modifications importantes observées par Trend Micro figurent les suivantes :
- Suppression des paramètres ‘–size’, ‘–log’ et ‘–vmlist’ et ajout d’un nouveau paramètre ‘-type=soft’ pour arrêter les machines virtuelles (VM) ESXi d’une manière plus subtile qui est plus susceptible de échapper à la détection.
- Ajout d’un paramètre ‘–whitelist’ pour demander au casier d’ignorer des machines virtuelles (VM) ESXi spécifiques sur l’hôte.
- Modification des fichiers ‘/etc/motd’ et ‘index.html’ pour afficher le contenu de la note de rançon lors de la connexion de l’utilisateur (Message du jour).
- Ajoute maintenant la signature d’octet « MONTI » ainsi que 256 octets supplémentaires liés à la clé de cryptage aux fichiers cryptés.
- Vérifie si la taille du fichier est inférieure ou supérieure à 261 octets, crypte les fichiers plus petits et vérifie la présence de la chaîne « MONTI » sur les plus grands. Si la chaîne est manquante, il crypte les fichiers.
- La nouvelle variante utilise la méthode de chiffrement AES-256-CTR de la bibliothèque OpenSSL, contrairement à la variante précédente, qui utilisait Salsa20.
- Les fichiers dont la taille est comprise entre 1,048 Mo et 4,19 Mo n’auront que les 100 000 premiers octets cryptés, tandis que les fichiers inférieurs à 1,048 Mo sont entièrement cryptés.
- Les fichiers dépassant la taille de 4,19 Mo verront une partie de leur contenu crypté, calculé par une opération Shift Right.
La nouvelle variante ajoute l’extension .MONTI aux fichiers cryptés et génère une note de rançon (« readme.txt ») sur chaque répertoire qu’elle traite.
Selon les chercheurs, l’un des points forts du code est sa capacité améliorée à échapper à la détection, ce qui rend plus difficile l’identification et l’atténuation des attaques de ransomware Monti.
Contexte du rançongiciel Monti
Repéré pour la première fois par MalwareHunterTeam en juin 2022 et documenté publiquement par BlackBerry un mois plus tard, le rançongiciel Monti est apparu comme un clone de Conti, car il utilisait la majeure partie de son code suite à une fuite d’un chercheur ukrainien.
En septembre 2022, un rapport Intel471 a souligné la probabilité accrue que Monti soit une nouvelle image de marque de Conti sur la base de leurs méthodes d’accès au réseau initiales identiques.
Cependant, en raison du volume d’attaques relativement faible, l’acteur de la menace n’a pas trop attiré l’attention des chercheurs, avec un seul rapport de Fortinet en janvier 2023 qui fournit un examen superficiel de leur casier Linux.
Les membres du gang ne se considèrent pas comme des cybercriminels ou leurs logiciels malveillants. Ils se réfèrent aux outils qu’ils utilisent comme des utilitaires qui révèlent les problèmes de sécurité dans les réseaux d’entreprise et appellent leurs attaques des tests de pénétration, pour lesquels ils veulent être payés. Si l’entreprise victime ne paie pas, elle publie le nom de ses victimes sur son site de fuite de données, dans une section intitulée « Wall of Shame ».
Malgré les termes utilisés pour décrire leur activité, le groupe Monti se comporte comme n’importe quel autre gang de rançongiciels, violant le réseau de l’entreprise, volant des données et demandant une rançon.