Ransomware Monti atinge servidores VMware ESXi com novo locker Linux
15 de Agosto de 2023

A gangue de ransomware Monti retornou, depois de uma pausa de dois meses na publicação de vítimas em seu site de vazamento de dados, usando um novo locker Linux para atacar servidores VMware ESXi, organizações jurídicas e governamentais.

Pesquisadores da Trend Micro analisando a nova ferramenta de criptografia do Monti descobriram que ela tem "desvios significativos de suas outras versões baseadas em Linux".

Versões anteriores do locaker do Monti foram fortemente baseadas (99%) no código vazado do ransomware Conti, mas as semelhanças no novo locker são de apenas 29%.

Um dos destaques no código, dizem os pesquisadores, é sua capacidade melhorada de evadir detecção, o que torna mais difícil identificar e mitigar ataques de ransomware Monti.

Primeiramente identificado pelo MalwareHunterTeam em junho de 2022 e documentado publicamente pela BlackBerry um mês depois, o ransomware Monti apareceu como um clone do Conti, pois usava a maior parte de seu código após um vazamento de um pesquisador ucraniano.

Em setembro de 2022, um relatório da Intel471 destacou a probabilidade aumentada da Monti ser uma rebranding da Conti com base em seus métodos de acesso inicial à rede idênticos.

No entanto, devido ao volume relativamente baixo de ataques, o ator da ameaça não atraiu muita atenção dos pesquisadores, com apenas um relatório da Fortinet em janeiro de 2023 que fornece um exame superficial de seu locker Linux.

Os membros da gangue não se consideram cibercriminosos nem seu software malicioso.

Eles se referem às ferramentas que usam como utilitários que revelam problemas de segurança nas redes corporativas e chamam seus ataques de teste de penetração, pelos quais querem ser pagos.

Se a empresa vítima não paga, eles publicam o nome da vítima em seu site de vazamento de dados, em uma seção chamada "Muro da Vergonha".

Apesar dos termos usados ​​para descrever sua atividade, o grupo Monti se comporta como qualquer outra gangue de ransomware, invadindo a rede da empresa, roubando dados e pedindo resgate.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...