All’inizio di luglio, i ricercatori hanno identificato un’attività sospetta da parte di un ransomware precedentemente sconosciuto, o non così sconosciuto, il ransomware Monti.
Si potrebbe dire che è quasi nuovo, dato che è abbastanza simile al famoso ransomware Conti. Alcuni dicono che sono “Doppelganger”, cioè sosia.
Qualche tempo fa il gruppo Conti ha subito un’intrusione e una grossa fuga di dati, tra cui codici sorgente, strumenti di hackeraggio e altri dati associati.
Queste informazioni sono state sufficienti ad altri criminali informatici per diffondere e utilizzare le tattiche del ransomware Conti. I criminali informatici avevano in mano un approccio graduale per portare a termine attacchi importanti.
Si è capito che il gruppo dietro il ransomware Monti ha goduto appieno della fuga di dati di febbraio. Il gruppo segue la stessa linea di Conti nelle sue operazioni, ovvero:
- Ricerca di vulnerabilità nel sistema
- Irruzione nel sistema
- Esecuzione del ransomware
- Movimento laterale per il massimo danno
- Crittografia dei file
- Rinominare i file rendendo impossibile aprirli
- Generazione della richiesta di riscatto
Gli operatori del ransomware Monti utilizzano spesso la vulnerabilità di Windows denominata “Log4Shell” (CVE-2021-44228). Una volta violato il sistema, gli operatori rilasciano il ransomware Monti e iniziano la crittografia assicurandosi di raggiungere il maggior numero di dati possibile.
A tale scopo utilizzano il protocollo RDP (Remote Desktop Protocol). In questo modo, possono raggiungere facilmente i server collegati alla stessa rete. Questa tecnica è chiamata movimento laterale.
Quindi, i file crittografati vengono rinominati e diventano inaccessibili. Il ransomware Monti utilizza un’estensione casuale di cinque caratteri che viene aggiunta al nome del file originale.
Al termine della crittografia, Monti crea una nota di riscatto chiamata “readme.txt”. Tutte le coordinate per contattare i responsabili dell’attacco si trovano in questo file di testo.
La collaborazione con gli hacker è sconsigliata e deve essere considerata solo come ultima risorsa. In questa situazione, affidarsi a professionisti competenti nel recupero dei dati è la scelta migliore.
Recuperare i file crittografati da Monti ransomware
Digital Recovery vanta oltre 23 anni di esperienza nel mercato del recupero dati. Nella nostra storia siamo stati in grado di aiutare centinaia di aziende che hanno subito attacchi ransomware.
Grazie alla nostra tecnologia proprietaria, siamo in grado di recuperare i file crittografati da qualsiasi dispositivo di archiviazione, come database, server, sistemi RAID e macchine virtuali.
Agiamo a distanza nel recupero dei dati, mantenendo la necessaria segretezza perché sappiamo quanto possano essere sensibili i dati di un’azienda.
La nostra soluzione si basa interamente sulla General Data Protection Regulation (GDPR). Tutti i nostri clienti possono inoltre contare su un accordo di riservatezza (NDA).
Il nostro servizio clienti è disponibile 24 ore su 24, 7 giorni su 7, nella lingua di vostra scelta: inglese, francese, portoghese e spagnolo. Contattateci e recuperate subito i vostri dati.
