No início de Julho, os investigadores identificaram uma actividade suspeita de um ransomware previamente desconhecido, ou não tão desconhecido, o Monti ransomware.
Poder-se-ia dizer que é quase novo, pois é bastante semelhante ao famoso “Conti ransomware”. Alguns dizem que são “Doppelganger”, o que significa “parecido”.
Há algum tempo atrás, o grupo Conti sofreu uma invasão e uma grande fuga de dados, incluindo código fonte, ferramentas hacker e outros dados associados.
Esta informação era suficiente para que outros criminosos informáticos se espalhassem e utilizassem as tácticas de ransomware Conti. Os cibercriminosos tinham em mãos uma abordagem passo a passo para levar a cabo ataques de grande envergadura.
É notório que o grupo por detrás do Monti ransomware, desfrutou plenamente da fuga de dados de Fevereiro. O grupo segue a mesma linha que Conti nas suas operações, que é:
- Procura de vulnerabilidades do sistema
- Invasão do sistema
- Execução de ransomware
- Movimento lateral para máximo dano
- Encriptação de ficheiros
- Renomeação de ficheiros para torná-los inacessíveis
- Geração do pedido de resgate
Os operadores do Monti ransomware utilizam frequentemente a vulnerabilidade do Windows chamada “Log4Shell” (CVE-2021-44228). Assim que o sistema for pirateado, os operadores libertam o Monti ransomware e iniciam a encriptação, tendo a certeza de alcançar o máximo de dados possível.
Para o fazer, utilizam o Remote Desktop Protocol (RDP). Desta forma, podem chegar facilmente a servidores ligados à mesma rede. Esta técnica é chamada movimento lateral.
Depois, os ficheiros encriptados são renomeados e tornam-se inacessíveis. O Monti ransomware utiliza uma extensão aleatória de cinco caracteres que é adicionada ao nome do ficheiro original.
Após a encriptação estar concluída, Monti cria uma nota de resgate chamada “readme.txt”. Todas as coordenadas para que a vítima contacte os responsáveis pelo ataque são encontradas neste ficheiro de texto.
A colaboração com hackers não é recomendada e deve ser considerada apenas como um último recurso. Nesta situação, confiar em profissionais competentes na recuperação de dados é a melhor escolha.
Recuperar ficheiros encriptados por Monti ransomware
A Digital Recovery tem mais de 23 anos de experiência no mercado da recuperação de dados. Na nossa história, temos sido capazes de ajudar centenas de empresas que sofreram ataques de ransomware.
Graças à nossa tecnologia proprietária, podemos recuperar ficheiros encriptados a partir de praticamente qualquer dispositivo de armazenamento, como bases de dados, servidores, sistemas RAID, máquinas virtuais, entre outros.
Actuamos remotamente na recuperação de dados, mantendo o segredo necessário, porque sabemos quão sensíveis os dados de uma empresa podem ser.
A nossa solução foi inteiramente baseada na General Data Protection Regulation (GDPR). Todos os nossos clientes podem também contar com um acordo de confidencialidade (NDA).
A nossa equipa de apoio está disponível 24 horas por dia, 7 dias por semana, na língua da sua escolha: inglês, francês, português e espanhol. Contacte-nos e receba já os seus dados de volta.