Ransomware Monti: la nueva amenaza que sacude los sistemas

El ransomware Monti es noticia desde hace algunos meses, gracias a ciberataques selectivos y a una sofisticada estrategia de infiltración. Aunque es relativamente nuevo en la escena, el ransomware ya ha causado daños significativos a varias organizaciones, especialmente en Francia. ¿Cuál es el origen del ransomware Monti? ¿Cuáles son sus tácticas de ataque y cuál es la mejor manera de protegerse contra esta amenaza creciente? También estudiaremos el caso particular de los ataques a las copias de seguridad basadas en Veeam, analizado por los investigadores de Blackberry.

Orígenes e historia del ransomware Monti

Aparición y primeros avistamientos de Monti

La primera referencia creíble al grupo de ransomware Monti se remonta a un tweet de los investigadores de seguridad de MalwareHunterTeam publicado el 30 de junio de 2022. Sin embargo, en ese momento había muy poca información disponible públicamente sobre estos incidentes específicos.

Capture d'écran du tweet de MalewareHunterTeam sur la première apparition de Conti ransomware
Fuente: @malwrhunterteam en X (Twitter)

Métodos iniciales de intrusión

El 29 de junio de 2022, el grupo Monti penetró en el servidor VMware Horizon Connection Broker de un cliente BlackBerry aprovechando la vulnerabilidad Log4Shell. Tras esta intrusión, instalaron dos agentes de monitorización y mantenimiento remoto: AnyDesk y Action1, que les permitieron mantener un acceso persistente y controlar remotamente los sistemas infectados, tal y como analizaron los investigadores del equipo BlackBerry IR (ver diagrama a continuación). Le recomendamos que lea este análisis para saber más.

Vue d'ensemble de l'incident du ransomware "MONTI strain”  par BlackBerry
Fuente: BlackBerry – Resumen del incidente del ransomware «MONTI strain

Monti, un peligroso sucesor del ransomware Conti

Monti imita de cerca los métodos y herramientas utilizados por el infame grupo Conti. Los investigadores de BlackBerry descubrieron que Monti reproduce las estrategias, técnicas y procedimientos (TTP) de Conti, incluidas las características y herramientas específicas de cifrado del ransomware. Esta imitación se vio facilitada por una filtración masiva de datos de Conti en 2022, que incluía comunicaciones internas, guías de formación y código fuente.

La similitud entre Monti y Conti plantea la cuestión de si Monti es simplemente una evolución o una rama del grupo Conti. Ambos grupos comparten técnicas similares para ejecutar comandos maliciosos y mantener una presencia persistente en redes comprometidas.

Esta réplica fiel de las técnicas de Conti por parte de Monti muestra una tendencia preocupante en el panorama de las amenazas, en el que los grupos emergentes de ransomware pueden adoptar y adaptar rápidamente métodos probados a partir de filtraciones de información sensible.

Un análisis detallado de las similitudes con el ransomware Conti y las variaciones del ransomware Monti está disponible en el sitio web de Trend Micro.

Comparaison de l'ancienne variante Monti et du ransomware Conti à l'aide de Bindiff par TrendMicro
Fuente: Trend Micro – Comparación de la antigua variante de Monti y el ransomware Conti mediante Bindiff

Características únicas del ransomware Monti

Monti tiene una serie de características únicas. Por ejemplo, los mensajes del ransomware Monti son casi idénticos a los de Conti, con la excepción del nombre de contacto y las URL específicas. Además, a diferencia de otros ransomware que utilizan herramientas como AnyDesk para acceder remotamente a los sistemas, Monti utiliza la plataforma de monitorización y mantenimiento Action1 RMM para acceder y gestionar remotamente los sistemas. Esta técnica les permite ser menos detectables al tiempo que conservan el control total sobre las máquinas comprometidas.

Uso de agentes de supervisión como Action1 RMM

Action1 RMM (Remote Monitoring and Management) es una solución basada en la nube que utilizan los proveedores de servicios informáticos gestionados (MSP) y las empresas para gestionar y supervisar de forma remota los ordenadores y otros puntos finales de una red. Los administradores pueden utilizarla para realizar diversas tareas, como actualizaciones de software, despliegue de aplicaciones, supervisión de activos de TI y asistencia a usuarios.

Debido a sus amplias capacidades, Action1 RMM se ha convertido en un objetivo para los ciberdelincuentes. Como otros antes que ellos, los hackers del grupo MONTI han apuntado a esta solución para distribuir ransomware, explotando vulnerabilidades como el acceso al panel de control mediante credenciales robadas o fuerza bruta. Los investigadores de seguridad han observado que herramientas como Action1 RMM se han convertido en vectores de ataque populares para los ciberdelincuentes, ya que les permiten mantener una presencia en redes comprometidas y ejecutar comandos maliciosos, a menudo para desplegar ransomware o mantener una presencia persistente en redes comprometidas.

Cifrado de datos: el caso de las copias de seguridad de Veeam

El equipo de Blackberry también presentó un análisis de ‘Veeamp’, un malware de robo de contraseñas dirigido a la aplicación de copia de seguridad de datos Veeam, que se identificó durante el incidente en el servidor VMware Horizon de su cliente.

Veeam Backup & Replication es un software ampliamente utilizado para el backup, recuperación y replicación de datos. Está diseñado para garantizar que las empresas puedan recuperar rápidamente sus datos en caso de pérdida de datos, ciberataques u otros incidentes. Los atacantes suelen atacar estos sistemas de copia de seguridad para dificultar la recuperación de los datos sin pagar un rescate.

Backup Veeam verrouillé

Detalles del ataque de Monti a Veeam

  1. Acceso inicial:
    • El grupo de Monti explotó la conocida vulnerabilidad Log4Shell (CVE-2021-44228) para acceder al servidor VMware Horizon del cliente.
    • Una vez dentro, los atacantes utilizaron diversas herramientas para establecer y mantener el acceso a la red, incluida la instalación de agentes de supervisión y mantenimiento remotos (RMM) como AnyDesk y Action1.
  2. Despliegue del ataque:
    • Tras obtener el acceso inicial, los atacantes utilizaron herramientas para robar credenciales, escanear la red y acceder a otros sistemas a través del protocolo de escritorio remoto (RDP).
    • A continuación, desplegaron el ransomware Monti para cifrar varios hosts de la red, incluidas las copias de seguridad basadas en Veeam.
  3. Veeamp: una pieza específica de malware:
    • Durante el incidente, los investigadores de BlackBerry identificaron una pieza específica de malware, llamada «Veeamp», diseñada para robar contraseñas de la aplicación de copia de seguridad Veeam.
    • Veeamp.exe es un malware escrito en .NET de 32 bits, capaz de conectarse a la base de datos SQL de Veeam Backup y descifrar las contraseñas de los usuarios.

Impacto y riesgos

  • Cifradode copias de seguridad: al cifrar los datos de las copias de seguridad, los atacantes dificultan aún más la restauración de los sistemas, lo que aumenta la presión sobre las víctimas para que paguen el rescate.
  • Robo de credenciales: el robo de contraseñas de Veeam permite a los atacantes desactivar o manipular las copias de seguridad, lo que complica aún más la recuperación.
  • Persistencia: herramientas RMM como AnyDesk y Action1 permiten a los atacantes mantener un acceso persistente a la red, facilitando nuevos ataques o el despliegue de ransomware en otros momentos.

Blackberry proporciona los siguientes indicadores de compromiso (IoC) para Veeam:

Veeam Credential Dumper hashes SHA-256:

  • 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
  • df492b4cc7f644ad3e795155926d1fc8ece7327c0c5c8ea45561f24f5110ce54
  • 78517fb07ee5292da627c234b26b555413a459f8d7a9641e4a9fcc1099f06a3d

Lo más destacado en Francia: el ataque a la ciudad de Pau

Durante la noche del 12 al 13 de mayo de 2024, el grupo Monti atacó varias entidades importantes de la región de Pau: el aeropuerto Pau-Pyrénées, la escuela de negocios Eklore (antiguo CNPC) y el campus digital de Pau. El modus operandi era similar: tras infiltrarse, el grupo extraía datos sensibles y paralizaba los sistemas afectados. Segúnrevela el diario Sud-Ouest, este ciberataque afectó a tres instituciones vinculadas a la CCI Pau Béarn, que presentó inmediatamente una denuncia ante las autoridades competentes.

Publicación de los datos en la Dark Web

Los datos de estas tres instituciones se publicaron finalmente en el «muro de la vergüenza» de Monti el 26 de mayo. Según Zataz, se trata de miles de documentos, desde documentos administrativos y archivos sensibles del aeropuerto de Pau-Pirineos hasta archivos con datos personales de numerosos estudiantes y personal de la ESC de Pau. Todos estos datos podrían utilizarse potencialmente para campañas de phishing o suplantación de identidad con fines de extorsión.

capture écran RansoomLock aperçu de l'activité de Conti
Fuente: captura de pantalla de RansoomLock – una visión general de la actividad del ransomware Conti
Index du leak de l’université Pau, screenshot Venarix
Fuente: @_venarixES_ en X (Twitter)

¿Cómo se propaga el ransomware Monti?

Métodos de propagación habituales

Como muchos otros ransomware, Monti se propaga a través de diversos vectores. Los métodos más comunes incluyen descargas maliciosas drive-by, adjuntos de correo electrónico infectados, estafas en línea y falsas actualizaciones de software.

Consejos para prevenir la infección

Los consejos de prevención siguen siendo los mismos y están más de actualidad que nunca. Se recomienda encarecidamente escanear periódicamente el ordenador con un software antivirus actualizado si sospecha de una infección por Monti. Además, evitar hacer clic en enlaces o descargar archivos adjuntos de fuentes no verificadas puede reducir considerablemente el riesgo de infección.

Respuesta y prevención contra el ransomware

No pague el rescate

Como ocurre con todos los ransomware, pagar un rescate para recuperar los datos no garantiza necesariamente que los atacantes proporcionen las herramientas de descifrado necesarias. Es más, ceder a las demandas de los hackers apoya financieramente sus actividades ilegales.

Medidas de protección

Una vez más, las medidas que pueden tomarse para protegerse de Monti no difieren de los consejos que se dan para otros ransomware. Por ejemplo, realizar copias de seguridad periódicas, formar a los empleados para que sepan reconocer los intentos de suplantación de identidad y utilizar herramientas de seguridad avanzadas para controlar las anomalías de la red y reaccionar ante ellas. Ante las amenazas que plantea el ransomware a organizaciones, comunidades y empresas, sigue siendo muy recomendable seguir prácticas de seguridad estrictas, como la autenticación de dos factores, la restricción del acceso por dirección IP, el cambio periódico de contraseñas y la vigilancia de actividades sospechosas.

El ransomware Monti representa una grave amenaza para las organizaciones de todo el mundo. Su sofisticación y el uso exclusivo de agentes de vigilancia remota lo convierten en un adversario formidable. Dado que los métodos de este grupo siguen evolucionando, todas las empresas deben reforzar sus defensas y permanecer vigilantes ante esta amenaza cada vez mayor.

Referencias y análisis:

El curioso caso del ransomware «Monti»: un doble en el mundo real (blackberry.com)

El ransomware Monti desata un nuevo encriptador para Linux (trendmicro.com)

Los hackers empiezan a abusar de Action1 RMM en ataques de ransomware (bleepingcomputer.com)

Ciberataque a la CCI Béarn et Soule: afectados el aeropuerto de Pau y la escuela de negocios (zataz.com)

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *