logo SOS Ransomware
Kontakt 24/7

Monti Ransomware: Die neue Bedrohung, die Systeme erschüttert

Die Ransomware Monti macht seit einigen Monaten durch gezielte Cyberangriffe und eine ausgeklügelte Infiltrationsstrategie von sich reden. Obwohl die Ransomware noch relativ neu in der Szene ist, hat sie bereits mehreren Organisationen, insbesondere in Frankreich, erheblichen Schaden zugefügt. Welchen Ursprung hat die Monti-Ransomware? Was sind ihre Angriffstaktiken und wie kann man sich am besten vor dieser wachsenden Bedrohung schützen? Wir werden auch den Sonderfall der Angriffe auf Veeam-basierte Backups betrachten, der von Blackberry-Forschern analysiert wurde.

Ursprünge und Geschichte der Ransomware Monti

Auftreten und erste Sichtungen von Monti

Der erste glaubwürdige Hinweis auf die Monti-Ransomware-Gruppe stammt aus einem Tweet der Sicherheitsforscher des MalwareHunterTeams, der am 30. Juni 2022 veröffentlicht wurde. Zu diesem Zeitpunkt waren jedoch nur sehr wenige Informationen über diese spezifischen Vorfälle öffentlich verfügbar.

Capture d'écran du tweet de MalewareHunterTeam sur la première apparition de Conti ransomware
Quelle: @malwrhunterteam auf X (Twitter).

Ursprüngliche Methoden des Eindringens

Am 29. Juni 2022 drang die Monti-Gruppe unter Ausnutzung der Log4Shell-Schwachstelle in den VMware Horizon Connection Broker-Server eines BlackBerry-Clients ein. Nach diesem Einbruch installierten sie zwei Fernüberwachungs- und Fernwartungsagenten: AnyDesk und Action1, die es ihnen ermöglichten, persistenten Zugriff auf die infizierten Systeme zu erhalten und diese fernzusteuern, wie die Forscher des BlackBerry IR-Teams analysiert haben (siehe Diagramm unten). Eine Analyse, deren Lektüre wir Ihnen nur empfehlen können, um mehr über die Details zu erfahren.

Vue d'ensemble de l'incident du ransomware "MONTI strain” par BlackBerry
Quelle: BlackBerry – Überblick über den Vorfall mit der Ransomware „MONTI strain“.

Monti, ein gefährlicher Nachfolger der Conti-Ransomware.

Monti ahmt eng die Methoden und Werkzeuge nach, die von der berüchtigten Conti-Gruppe verwendet wurden. BlackBerry-Forscher haben herausgefunden, dass Monti die Strategien, Techniken und Verfahren (TTP) von Conti übernimmt, einschließlich der Verschlüsselungsfunktionen der Ransomware und spezifischer Tools. Diese Nachahmung wurde durch ein massives Datenleck von Conti im Jahr 2022 erleichtert, das interne Mitteilungen, Schulungsleitfäden und Quellcode umfasste.

Die Ähnlichkeit zwischen Monti und Conti wirft die Frage auf, ob Monti lediglich eine Weiterentwicklung oder ein Zweig der Conti-Gruppe ist. Beide Gruppen teilen ähnliche Techniken zur Ausführung bösartiger Befehle und zur Aufrechterhaltung einer anhaltenden Präsenz in kompromittierten Netzwerken.

Diese getreue Nachahmung der Conti-Techniken durch Monti zeigt einen beunruhigenden Trend in der Bedrohungslandschaft, bei dem aufstrebende Ransomware-Gruppen schnell bewährte Methoden aus durchgesickerten sensiblen Informationen übernehmen und anpassen können.

Eine detaillierte Analyse der Ähnlichkeiten mit der Conti-Ransomware und der Variationen, die bei der Monti-Ransomware aufgetreten sind, finden Sie auf der Trend Micro Website.

Comparaison de l'ancienne variante Monti et du ransomware Conti à l'aide de Bindiff par TrendMicro
Quelle: Trend Micro – Vergleich der alten Monti-Variante und der Conti-Ransomware mithilfe von Bindiff.

Die einzigartigen Merkmale der Monti-Ransomware

Monti zeichnet sich durch einige einzigartige Besonderheiten aus. Beispielsweise sind die Lösegeldnachrichten von Monti fast identisch mit denen von Conti, mit Ausnahme des Namens und der spezifischen Kontakt-URLs. Außerdem nutzt Monti im Gegensatz zu anderer Ransomware, die Tools wie AnyDesk für den Fernzugriff auf Systeme verwendet, die Überwachungs- und Wartungsplattform Action1 RMM für den Fernzugriff auf und die Verwaltung von Systemen. Diese Technik ermöglicht es ihnen, weniger auffällig zu bleiben und dennoch die volle Kontrolle über die kompromittierten Rechner zu behalten.

Einsatz von Überwachungsagenten wie Action1 RMM.

Action1 RMM (Remote Monitoring and Management) ist eine cloudbasierte Lösung, die von Managed IT Service Providern (MSP) und Unternehmen verwendet wird, um Computer und andere Endpunkte in einem Netzwerk aus der Ferne zu verwalten und zu überwachen. Administratoren können damit verschiedene Aufgaben wie Softwareaktualisierungen, die Bereitstellung von Anwendungen, die Überwachung von IT-Assets und die Unterstützung von Benutzern durchführen.

Aufgrund seiner erweiterten Fähigkeiten ist Action1 RMM zu einem Ziel für Cyberkriminelle geworden. Wie andere vor ihnen zielten Hacker der MONTI-Gruppe auf diese Lösung ab, um Ransomware zu verbreiten, wobei sie Schwachstellen wie den Zugriff auf das Control Panel über gestohlene Anmeldeinformationen oder durch Brute-Force-Methoden ausnutzten. Sicherheitsforscher stellten fest, dass Tools wie Action1 RMM zu beliebten Angriffsvektoren für Cyberkriminelle geworden sind, mit denen sie ihre Präsenz in kompromittierten Netzwerken sicherstellen und bösartige Befehle ausführen können, häufig um Ransomware zu verteilen oder eine anhaltende Präsenz in kompromittierten Netzwerken aufrechtzuerhalten.

Datenverschlüsselung: der Fall von Veeam-Backups

Das Blackberry-Team präsentierte auch eine Analyse von „Veeamp“, einer passwortstehlenden Malware, die auf die Datensicherungsanwendung Veeam abzielt und während des Vorfalls auf dem VMware-Horizon-Server ihres Kunden identifiziert wurde.

Veeam Backup & Replication ist eine weit verbreitete Software für die Sicherung, Wiederherstellung und Replikation von Daten. Sie soll sicherstellen, dass Unternehmen ihre Daten im Falle von Datenverlust, Cyberangriffen oder anderen Vorfällen schnell wiederherstellen können. Angreifer zielen häufig auf diese Sicherungssysteme ab, um die Wiederherstellung von Daten ohne Zahlung eines Lösegelds zu erschweren.

Backup Veeam verrouillé

Details des Angriffs von Monti auf Veeam.

  1. Ursprünglicher Zugriff:
    • Die Gruppe Monti nutzte die bekannte Schwachstelle Log4Shell (CVE-2021-44228) aus, um auf den VMware Horizon-Server des Kunden zuzugreifen.
    • Einmal im Inneren, verwendeten die Angreifer verschiedene Tools, um ihren Netzwerkzugriff herzustellen und aufrechtzuerhalten. Dazu gehörte auch die Installation von Agenten für die Fernüberwachung und -wartung (RMM) wie AnyDesk und Action1.
  2. Einsatz des Angriffs:
    • Nachdem sich die Angreifer einen anfänglichen Zugang verschafft hatten, verwendeten sie Werkzeuge, um Anmeldedaten zu stehlen, das Netzwerk zu scannen und über das Remote Desktop Protocol (RDP) auf andere Systeme zuzugreifen.
    • Anschließend setzten sie die Ransomware Monti ein, um mehrere Hosts innerhalb des Netzwerks zu verschlüsseln, darunter auch Veeam-basierte Backups.
  3. Veeamp: eine spezifische Malware:
    • Während des Vorfalls identifizierten die BlackBerry-Forscher eine spezifische Malware namens „Veeamp“, die darauf ausgelegt war, Passwörter für die Veeam-Backup-Anwendung zu stehlen.
    • Veeamp.exe ist eine in 32-Bit-.NET geschriebene Malware, die sich mit der SQL-Datenbank von Veeam Backup verbinden und die Passwörter der Benutzer entschlüsseln kann.

Auswirkungen und Risiken

  • Verschlüsselung von Backups: Durch die Verschlüsselung von Backup-Daten erschweren Angreifer die Wiederherstellung von Systemen zusätzlich und erhöhen so den Druck auf die Opfer, das Lösegeld zu zahlen.
  • Diebstahl vonCredentials: Der Diebstahl von Veeam-Kennwörtern ermöglicht es Angreifern, Backups zu deaktivieren oder zu manipulieren, was die Wiederherstellung zusätzlich erschwert.
  • Persistenz: RMM-Tools wie AnyDesk und Action1 ermöglichen es Angreifern, einen persistenten Netzwerkzugang aufrechtzuerhalten, was weitere Angriffe oder den Einsatz von Ransomware zu anderen Zeiten erleichtert.

Blackberry stellt die folgenden Kompromittierungsindikatoren (IoCs) für Veeam bereit:

Veeam Credential Dumper SHA-256 hashes:

  • 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
  • df492b4cc7f644ad3e795155926d1fc8ece7327c0c5c8ea45561f24f5110ce54
  • 78517fb07ee5292da627c234b26b555413a459f8d7a9641e4a9fcc1099f06a3d
Veeam-Backups im Fehlerfall?

Herausragender Fall in Frankreich: Der Angriff auf die Stadt Pau.

In der Nacht vom 12. auf den 13. Mai 2024 griff die Monti-Gruppe mehrere wichtige Einrichtungen in der Region Pau an: den Flughafen Pau-Pyrénées, die Handelsschule Eklore (ehemals CNPC) und den Digitalcampus Pau. Die Vorgehensweise war ähnlich: Nachdem die Gruppe eingedrungen war, extrahierte sie sensible Daten und legte die betroffenen Systeme lahm. Wiedie Tageszeitung Sud-Ouest enthüllte, betraf dieser Cyberangriff drei Institutionen, die mit der CCI Pau Béarn verbunden sind, die umgehend eine Beschwerde bei den zuständigen Behörden einreichte.

Veröffentlichung der Daten im Dark Web

Die Daten dieser drei Einrichtungen wurden schließlich am 26. Mai auf Montis „wall of shame“ (Wand der Schande) veröffentlicht. Laut Zataz handelt es sich um Tausende von Dokumenten, die sowohl Verwaltungsdokumente und sensible Akten des Flughafens Pau-Pyrénées als auch Akten mit den persönlichen Daten zahlreicher Studenten und Mitarbeiter der ESC de Pau betreffen. All diese Daten könnten potenziell für Phishing- oder Identitätsdiebstahlkampagnen zu Erpressungszwecken verwendet werden.

capture écran RansoomLock aperçu de l'activité de Conti
Quelle: Screenshot von RansoomLock – ein Überblick über die Aktivitäten von Conti Ransomware.
Index du leak de l’université Pau, screenshot Venarix
Quelle: @_venarixES_ auf X (Twitter).

Wie verbreitet sich Monti Ransomware?

Gängige Methoden der Verbreitung

Wie viele andere Ransomware verbreitet sich Monti über verschiedene Vektoren. Zu den häufigsten Methoden gehören bösartige Download s (Drive-by-Downloads), infizierte Anhänge in E-Mails, Online-Betrügereien und falsche Software-Updates.

Tipps zur Verhinderung einer Infektion

Die Tipps zur Vorbeugung bleiben immer gleich und sind aktueller denn je. Es wird dringend empfohlen, Ihren Computer regelmäßig mit einer aktualisierten Antivirensoftware zu scannen, wenn Sie eine Infektion mit Monti vermuten. Wenn Sie es außerdem vermeiden, auf Links zu klicken oder Anhänge aus ungeprüften Quellen herunterzuladen, kann dies das Risiko einer Infektion erheblich verringern.

Antwort und Vorbeugung gegen Ransomware

Zahlen Sie das Lösegeld nicht.

Wie bei jeder anderen Ransomware ist die Zahlung eines Lösegelds zur Wiederherstellung Ihrer Daten nicht unbedingt eine Garantie dafür, dass die Angreifer die erforderlichen Entschlüsselungswerkzeuge zur Verfügung stellen. Außerdem unterstützt das Nachgeben gegenüber den Forderungen der Angreifer deren illegale Aktivitäten finanziell.

Maßnahmen zum Schutz

Auch hier unterscheiden sich die verschiedenen Maßnahmen, die zum Schutz vor Monti ergriffen werden können, nicht von den Ratschlägen, die für andere Ransomware gegeben werden. Dazu gehören die Einrichtung regelmäßiger Datensicherungen, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und die Verwendung fortschrittlicher Sicherheitstools zur Überwachung und Reaktion auf Netzwerkanomalien. Die Befolgung strikter Sicherheitspraktiken wie Zwei-Faktor-Authentifizierung, Beschränkung des Zugriffs auf IP-Adressen, regelmäßige Änderung von Passwörtern und Überwachung verdächtiger Aktivitäten ist angesichts der Bedrohungen, die Ransomware für Organisationen, Gemeinden und Unternehmen darstellt, weiterhin dringend zu empfehlen.

Die Monti-Ransomware stellt eine ernsthafte Bedrohung für Organisationen auf der ganzen Welt dar. Ihre Raffinesse und ihr einzigartiger Einsatz von Fernüberwachungsagenten machen sie zu einem furchterregenden Gegner. Da sich die Methoden dieser Gruppe weiterentwickeln, müssen alle Unternehmen ihre Abwehrmaßnahmen verstärken und angesichts dieser immer noch wachsenden Bedrohung wachsam bleiben.

Referenzen und Analysen (auf Englisch) :

The Curious Case of „Monti“ Ransomware: A Real-World Doppelganger (blackberry.com)

Monti Ransomware Unleashes a New Encryptor for Linux (trendmicro.com)

Hacker starten Missbrauch von Action1 RMM in Ransomware-Angriffen (bleepingcomputer.com)

Cyberangriff auf die IHK Béarn und Soule: Flughafen und Handelsschule in Pau betroffen (zataz.com)

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It