No início do mês de julho, pesquisadores identificaram atividades suspeitas de um ransomware até então desconhecido, ou nem tanto, o ransomware Monti.
Pode-se dizer que é quase novo, pois ele é bastante similar ao famoso ransomware Conti. Alguns dizem que são “Doppelganger”, que quer dizer sósias.
A algum tempo atrás o grupo Conti sofreu uma invasão e um grande vazamento de dados, incluindo códigos-fonte, ferramentas de hackers e outros dados associados.
Essas informações foram suficientes para que outros cibercriminosos se espalhassem e usassem as táticas do ransomware Conti. Os cibercriminosos tinham em mãos um passo a passo para realizar grandes ataques.
Percebe-se que o grupo por trás do ransomware Monti, desfrutou plenamente do vazamento de dados de fevereiro. O grupo segue a mesma linha que o Conti em suas operações, que é:
- Busca de vulnerabilidades no sistema
- Invasão ao sistema
- Execução do ransomware
- Movimento Lateral para o máximo de dano
- Encriptação dos arquivos
- Renomeação dos arquivos inviabilizando sua abertura
- Geração do pedido de resgate
Os operadores do ransomware Monti usam frequentemente a vulnerabilidade do Windows chamada “Log4Shell” (CVE-2021-44228). Uma vez o sistema invadido os operadores liberam o ransomware Monti e começam a encriptação tendo certeza de atingir o máximo de dados possíveis.
Para isso, usam o Protocolo de Área de Trabalho Remota (RDP). Dessa forma, eles conseguem atingir servidores conectados à mesma rede facilmente. Essa técnica é chamada de movimento lateral.
Em seguida, os arquivos encriptados são renomeados e ficam inacessíveis. O ransomware Monti, usa uma extensão aleatória de cinco caracteres que é adicionada ao nome original do arquivo.
Depois que a encriptação é concluída, o Monti cria uma nota de resgate chamada “readme.txt”. Todas as coordenadas para a vítima entrar em contato com os responsáveis do ataque se encontram nesse arquivo de texto.
Colaborar com os hackers não é recomendado e deve apenas ser considerado em último caso. Nessa situação, confiar em profissionais competentes na recuperação de dados é a melhor escolha.
Recuperar arquivos encriptados por ransomware Monti
A Digital Recovery tem experiência de mais de 23 anos no mercado de recuperação de dados. Em nossa trajetória conseguimos ajudar centenas de empresas que sofreram ataques ransomware.
Graças a nossa tecnologia proprietária, conseguimos recuperar dados encriptados por ransomware de praticamente todos os dispositivos de armazenamento como banco de dados, servidores, sistemas RAID, máquinas virtuais, entre outros.
Agimos de forma remota na recuperação dos dados, mantendo o sigilo necessário pois sabemos o quão sensíveis podem ser os dados de uma empresa.
Nossa solução foi inteiramente baseada na Lei Geral de Proteção de Dados (LGPD). Todos os nossos clientes também podem contar com um acordo de confidencialidade (NDA).
Nossa equipe de atendimento está disponível 24/7 no idioma da sua preferência: Inglês, francês, português e espanhol. Fale conosco e recupere seus dados já.
