Monti勒索軟體同時具有Windows和Linux變種版本。Monti在2022年6月被首次發現,不僅在名稱上與Conti勒索軟體相似,威脅行為上也非常類似。Monti並故意模仿了Conti團隊廣為人知的戰術、技術和程式(TTPs),整合了大量Conti的工具,甚至使用了Conti洩漏的原始程式碼。自被發現以來,Monti團隊一直持續攻擊,並在洩露網站上曝光受害公司的資料。
Monti勒索軟體被曝光兩個月後,又開始了惡意活動,這一次攻擊目標是政府部門。與此同時,一個新型Linux版的Monti變種(Ransom.Linux.MONTI.THGOCBC)出現,與先前的Linux變種有顯著差異。早期版本主要基於Conti原始程式碼,新版本採用了不同的加密器,並具有額外的不同行為。目前在VirusTotal上只有三家安全廠商將樣本標記為惡意。
透過使用BinDiff,研究人員將新變種與舊變種進行比較,發現相似性僅為29%,而舊變種和Conti的相似性率為99%。新變種使用AES-256-CTR加密演算法,使用來自OpenSSL庫的evp_enc,而不是舊版本所採用的Salsa20。
Monti背後的駭客組織仍然可能使用Conti原始程式碼的一部分作為新變種的根基,但對程式碼進行了重大更改,特別是加密演算法。此外,藉由修改程式碼,Monti正在增強逃避檢測的能力,使他們的惡意活動更難以識別和緩解。
建議組織採取有效的防禦策略,包括制定資料保護協議和建立備份和恢復程式,以保護系統免受勒索軟體攻擊。即使在加密或刪除的情況下,這些措施也能確保資料安全性及其可能的恢復。
- 實施多因素身份驗證(MFA),以阻止攻擊者在網路中橫向移動並獲得對敏感性資料的存取權限。
- 遵循3-2-1備份指南來產生關鍵檔案備份。