Monti 勒索软件团伙在其数据泄露网站上发布受害者信息两个月后卷土重来，他们使用新的 Linux 锁来针对 VMware ESXi 服务器、法律和政府组织。

趋势科技的研究人员在分析 Monti 的新加密工具时发现，它“与其他基于 Linux 的前辈有显着差异”。

新的 Linux 储物柜

Monti 储物柜的早期版本在很大程度上 (99%) 基于 Conti 勒索软件泄露的代码，但新储物柜的相似度仅为 29%。

趋势科技观察到的重大修改如下：

• 删除“--size”、“--log”和“-vmlist”参数并添加新的“-type=soft”参数，以更微妙的方式终止 ESXi 虚拟机 (VM)逃避检测。
• 添加“--whitelist”参数来指示锁定器跳过主机上的特定 ESXi 虚拟机 (VM)。
• 修改“/etc/motd”和“index.html”文件以在用户登录时显示勒索信息内容（每日消息）。

• 现在将字节签名“MONTI”以及与加密密钥相关的附加 256 字节附加到加密文件。
• 检查文件大小是否低于或超过 261 字节，加密较小的文件，并检查较大文件是否存在“MONTI”字符串。如果字符串丢失，则会加密文件。
• 新变体使用 OpenSSL 库中的 AES-256-CTR 加密方法，这与之前使用 Salsa20 的变体不同。
• 大小在 1.048MB 到 4.19MB 之间的文件将仅加密前 100,000 字节，而小于 1.048MB 的文件将完全加密。
• 大小超过 4.19MB 的文件将对其部分内容进行加密，这是通过右移操作计算得出的。

• 新变种将 .MONTI 扩展名添加到加密文件中，并在其处理的每个目录上生成勒索字条（“readme.txt”）。

研究人员表示，该代码的亮点之一是其逃避检测的能力得到提高，这使得识别和减轻 Monti 勒索软件攻击变得更加困难。

Monti勒索软件背景

Monti 勒索软件于 2022 年 6 月首次被MalwareHunterTeam发现 ，一个月后由黑莓公开记录，Monti 勒索软件似乎是 Conti 的克隆，因为它在乌克兰研究人员泄露后使用了 Conti 的大部分代码。

2022 年 9 月，Intel471 的一份报告强调，基于相同的初始网络访问方法，Monti 成为 Conti 品牌重塑的可能性增加。

然而，由于攻击量相对较低，该威胁行为者并没有引起研究人员的太多关注，  Fortinet仅在 2023 年 1 月发布了一份报告，对其 Linux 储物柜进行了粗略检查。

该团伙成员并不认为自己是网络犯罪分子，也不认为他们的软件是恶意的。他们将他们使用的工具称为揭示企业网络安全问题的实用程序，并将他们的攻击称为渗透测试，他们希望为此获得报酬。如果受害公司不付款，他们就会在数据泄露网站的“耻辱墙”部分下公布受害者的姓名。

尽管用这些术语来描述他们的活动，但 Monti 团伙的行为与任何其他勒索软件团伙一样，破坏公司网络、窃取数据并索要赎金。