Sicurezza Informatica

Monti: attacco mirato ai VMware ESXi con Locker Linux

da Redazione
scritto da Redazione 0 commenti 2 minuti leggi

Dopo una pausa di due mesi senza pubblicare vittime sul loro sito di perdite di dati, il gruppo di ransomware Monti è tornato in azione, utilizzando un nuovo locker Linux per colpire i server VMware ESXi.

Annunci

Nuovo Locker Linux

Le versioni precedenti del locker Monti erano basate in gran parte (99%) sul codice trapelato dal ransomware Conti. Tuttavia, le somiglianze nel nuovo locker sono solo del 29%. Tra le modifiche significative osservate da Trend Micro ci sono:

  • Rimozione dei parametri ‘–size,’ ‘–log,’ e ‘–vmlist’ e aggiunta di un nuovo parametro ‘-type=soft’.
  • Aggiunta di un parametro ‘–whitelist’.
  • Modifica dei file ‘/etc/motd’ e ‘index.html’ per visualizzare il contenuto della nota di riscatto.
  • Appende la firma byte “MONTI” ai file cifrati.
  • Utilizza il metodo di cifratura AES-256-CTR della libreria OpenSSL.
  • Aggiunge l’estensione .MONTI ai file cifrati e genera una nota di riscatto (‘readme.txt’) in ogni directory che elabora.

Background del Ransomware Monti

Il ransomware Monti è stato individuato per la prima volta nel giugno 2022 e documentato pubblicamente un mese dopo. Apparve come un clone di Conti, utilizzando la maggior parte del suo codice. Tuttavia, a causa del volume di attacco relativamente basso, l’attore della minaccia non ha attirato molta attenzione. I membri del gruppo non si considerano cybercriminali e si riferiscono ai loro attacchi come test di penetrazione.

Analisi di Trend Micro

Durante l’analisi dei campioni, i ricercatori hanno scoperto un codice di decrittografia che suggerisce che l’attore della minaccia stava testando la sua funzionalità. Tuttavia, il codice di decrittografia è attualmente inefficace poiché richiede una chiave privata nota solo all’autore del malware.

Conclusioni e Misure di Sicurezza

Gli attori dietro Monti hanno probabilmente utilizzato parti del codice sorgente di Conti come base per la nuova variante. È consigliabile che le organizzazioni adottino strategie di difesa efficaci, come l’implementazione dell’autenticazione multifattore e l’adesione alla guida 3-2-1 per la creazione di backup.

Potreste Essere Interessati

Si può anche come

Rayhunter: strumento open-source dell’EFF per rilevare la sorveglianza...

Morto Carmine Gallo, ex superpoliziotto ai domiciliari per...

Apple: novità in arrivo con visionOS 3, iOS...

EncryptHub: nuova minaccia malware multi-stadio che colpisce utenti...

Matrice Digitale colpisce ancora: ACN sotto i riflettori,...

SilentCryptoMiner: la nuova minaccia diffusa su YouTube

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara