Ciberseguridad 360 | El ransomware Monti se dirige a servidores VMware ESXi con un nuevo casillero Linux

El grupo de ransomware Monti ha regresado, tras un descanso de dos meses de publicar v�ctimas en su sitio de filtraci�n de datos, utilizando un nuevo casillero Linux para atacar servidores VMware ESXi, organizaciones legales y gubernamentales.

Los investigadores de Trend Micro que analizaron la nueva herramienta de cifrado de Monti descubrieron que presenta "desviaciones significativas con respecto a sus otros predecesores basados en Linux."

Nuevo casillero Linux

Las versiones anteriores del Monti locker se basaban en gran medida (99%) en el c�digo filtrado del ransomware Conti, pero las similitudes en el nuevo locker son s�lo del 29%.

Entre las modificaciones significativas que Trend Micro ha observado se encuentran las siguientes:

Eliminaci�n de los par�metros '--size', '--log' y '-vmlist' y adici�n de un nuevo par�metro '-type=soft' para terminar las m�quinas virtuales (VM) ESXi de una forma m�s sutil que probablemente evada la detecci�n.

Adici�n de un par�metro '--whitelist' para indicar al casillero que omita m�quinas virtuales (VM) ESXi espec�ficas en el host.

Modificaci�n de los archivos '/etc/motd' e 'index.html' para mostrar el contenido de la nota de rescate al iniciar sesi�n (Mensaje del d�a).

Contenido de /etc/motd' modificado (Trend Micro)

Ahora a�ade la firma de bytes "MONTI" junto con 256 bytes adicionales relacionados con la clave de cifrado a los archivos cifrados.

Comprueba si el tama�o del archivo es inferior o superior a 261 bytes, cifra los archivos m�s peque�os y comprueba la presencia de la cadena "MONTI" en los m�s grandes. Si falta la cadena, cifra los archivos.

La nueva variante utiliza el m�todo de cifrado AES-256-CTR de la biblioteca OpenSSL, a diferencia de la variante anterior, que utilizaba Salsa20.

Los archivos de tama�os comprendidos entre 1,048 MB y 4,19 MB s�lo tendr�n cifrados los primeros 100.000 bytes, mientras que los archivos de menos de 1,048 MB se cifran en su totalidad.

Los archivos que superen el tama�o de 4,19 MB tendr�n cifrada una parte de su contenido, calculada mediante una operaci�n Desplazamiento a la derecha.

Cifrado parcial de archivos (izquierda), contenido original (derecha) (Trend Micro)

La nueva variante a�ade la extensi�n .MONTI a los archivos cifrados y genera una nota de rescate ('readme.txt') en cada directorio que procesa.

Uno de los aspectos m�s destacados del c�digo, seg�n los investigadores, es su mayor capacidad para eludir la detecci�n, lo que hace m�s dif�cil identificar y mitigar los ataques del ransomware Monti.

Antecedentes del ransomware Monti

Detectado por primera vez por MalwareHunterTeam en junio de 2022 y documentado p�blicamente por BlackBerry un mes despu�s, el ransomware Monti parec�a un clon de Conti, ya que utilizaba la mayor parte de su c�digo tras una filtraci�n de un investigador ucraniano.

En septiembre de 2022, un informe de Intel471 destac� la mayor probabilidad de que Monti fuera un rebrand de Conti, bas�ndose en sus id�nticos m�todos iniciales de acceso a la red.

Sin embargo, debido al volumen relativamente bajo de ataques, el actor de la amenaza no atrajo demasiado la atenci�n de los investigadores, con un �nico informe de Fortinet en enero de 2023 que proporciona un examen superficial de su casillero Linux.

Los miembros del grupo no se consideran ciberdelincuentes ni su software malicioso. Se refieren a las herramientas que utilizan como utilidades que revelan problemas de seguridad en las redes corporativas, y llaman a sus ataques pruebas de penetraci�n, por las que quieren cobrar. Si la empresa v�ctima no paga, publican el nombre de sus v�ctimas en su sitio de filtraci�n de datos, en una secci�n llamada "Muro de la verg�enza".

A pesar de los t�rminos utilizados para describir su actividad, el grupo Monti se comporta como cualquier otra banda de ransomware, vulnerando la red de la empresa, robando datos y pidiendo un rescate.

Fuente: bleepingcomputer