Anfang Juli entdeckten Forscher verdächtige Aktivitäten einer bis dahin unbekannten Ransomware, der Monti-Ransomware, oder auch nicht so unbekannt.
Man könnte sagen, sie ist fast neu, da sie der berühmten Conti-Ransomware sehr ähnlich ist. Manche sagen, sie seien „Doppelganger“, was so viel wie „Doppelgänger“ bedeutet.
Vor einiger Zeit kam es bei der Conti-Gruppe zu einem Einbruch und einem größeren Datenleck, das Quellcode, Hacker-Tools und andere zugehörige Daten umfasste.
Diese Informationen reichten anderen Cyberkriminellen aus, um die Taktik der Conti-Ransomware zu verbreiten und anzuwenden. Die Cyberkriminellen hatten eine Schritt-für-Schritt-Anleitung für die Durchführung großer Angriffe.
Es ist klar, dass die Gruppe, die hinter der Monti-Ransomware steckt, das Datenleck vom Februar voll ausgenutzt hat. Die Gruppe verfolgt bei ihren Operationen die gleiche Linie wie Conti, d. h.:
- Suche nach Schwachstellen im System
- Hacking des Systems
- Ausführung von Ransomware
- Seitliche Bewegung für maximalen Schaden
- Verschlüsselung von Dateien
- Das Umbenennen von Dateien macht es unmöglich, sie zu öffnen
- Erstellung von Rücknahmeanträgen
Die Betreiber der Monti-Ransomware nutzen häufig die Windows-Schwachstelle namens „Log4Shell“ (CVE-2021-44228). Sobald das System gehackt wurde, geben die Betreiber die Monti-Ransomware frei und beginnen mit der Verschlüsselung, wobei sie sicherstellen, dass sie an so viele Daten wie möglich gelangen.
Dazu verwenden sie das Remote Desktop Protocol (RDP). Auf diese Weise können sie leicht auf Server zugreifen, die mit demselben Netzwerk verbunden sind. Diese Technik wird als laterale Bewegung bezeichnet.
Die verschlüsselten Dateien werden dann umbenannt und sind nicht mehr zugänglich. Die Monti-Ransomware verwendet eine zufällige fünfstellige Erweiterung, die an den ursprünglichen Dateinamen angehängt wird.
Sobald die Verschlüsselung abgeschlossen ist, erstellt Monti einen Erpresserbrief namens „readme.txt“. In dieser Textdatei finden sich alle Koordinaten, mit denen das Opfer die Verantwortlichen für den Angriff kontaktieren kann.
Die Zusammenarbeit mit Hackern wird nicht empfohlen und sollte nur als letzter Ausweg in Betracht gezogen werden. In dieser Situation ist das Vertrauen in kompetente Datenrettungsexperten die beste Wahl.
Wiederherstellung von Dateien, die von Monti ransomware verschlüsselt wurden
Digital Recovery verfügt über mehr als 23 Jahre Erfahrung auf dem Markt für Datenrettung. In dieser Zeit konnten wir Hunderten von Unternehmen helfen, die Opfer von Ransomware-Angriffen geworden sind.
Dank unserer firmeneigenen Technologie können wir durch Ransomware verschlüsselte Daten von praktisch jedem Speichermedium wie Datenbanken, Servern, RAID-Systemen, virtuellen Maschinen und mehr wiederherstellen.
Wir handeln aus der Ferne, um Daten wiederherzustellen, und wahren dabei die notwendige Geheimhaltung, denn wir wissen, wie sensibel die Daten eines Unternehmens sein können.
Unsere Lösung basiert vollständig auf dem General Data Protection Act (GDPR). Alle unsere Kunden können sich außerdem auf eine Vertraulichkeitsvereinbarung (NDA) verlassen.
Unser Support-Team ist rund um die Uhr in der Sprache Ihrer Wahl erreichbar: Englisch, Französisch, Portugiesisch und Spanisch. Kontaktieren Sie uns und stellen Sie Ihre Daten jetzt wieder her.