logo SOS Ransomware
Urgence 24/7

Monti Ransomware : la nouvelle menace qui ébranle les systèmes

Le ransomware Monti fait parler de lui depuis quelques mois grâce à des cyberattaques ciblées et une stratégie d’infiltration sophistiquée. Bien qu’il soit relativement nouveau sur la scène, le ransomware a déjà causé des dégâts importants à plusieurs organisations, notamment en France. Quelle est l’origine du Monti ransomware ? Quelles sont ses tactiques d’attaque et comment se protéger au mieux contre cette menace croissante ? Nous verrons également le cas particulier des attaques des sauvegardes basées sur Veeam analysé par les chercheurs de Blackberry.

Origines et histoire du ransomware Monti

Apparition et premières observations de Monti

La première référence crédible au groupe Monti ransomware remonte à un tweet des chercheurs en sécurité de MalwareHunterTeam publié le 30 juin 2022. Cependant, à ce moment précis très peu d’informations étaient disponibles publiquement concernant ces incidents spécifiques.

Capture d'écran du tweet de MalewareHunterTeam sur la première apparition de Conti ransomware
Source : @malwrhunterteam sur X (Twitter)

Méthodes d’intrusion initiales

Le 29 juin 2022, le groupe Monti a pénétré le serveur VMware Horizon Connection Broker d’un client de BlackBerry en exploitant la vulnérabilité Log4Shell. Suite à cette intrusion, ils ont installé deux agents de surveillance et de maintenance à distance : AnyDesk et Action1, qui leur ont permis de maintenir un accès persistant et de contrôler à distance les systèmes infectés, ainsi que l’ont analysé les chercheurs de la team BlackBerry IR (voir diagramme ci-dessous). Une analyse que nous pouvons que vous recommander de lire pour en apprendre plus en détails.

Vue d'ensemble de l'incident du ransomware "MONTI strain” par BlackBerry
Source : BlackBerry – Vue d’ensemble de l’incident du ransomware « MONTI strain”

Monti, un dangereux successeur du ransomware Conti

Monti imite étroitement les méthodes et outils utilisés par le tristement célèbre groupe Conti. Les chercheurs de BlackBerry ont découvert que Monti reprend les stratégies, techniques et procédures (TTP) de Conti, y compris des fonctionnalités de chiffrement du ransomware et des outils spécifiques. Cette imitation a été facilitée par une fuite massive de données de Conti en 2022, comprenant des communications internes, des guides de formation et du code source.

La similitude entre Monti et Conti soulève la question de savoir si Monti est simplement une évolution ou une branche du groupe Conti. Les deux groupes partagent des techniques similaires pour exécuter des commandes malveillantes et maintenir une présence persistante sur les réseaux compromis.

Cette réplique fidèle des techniques de Conti par Monti montre une tendance inquiétante dans le paysage des menaces, où des groupes de ransomware émergents peuvent rapidement adopter et adapter des méthodes éprouvées à partir de fuites d’informations sensibles.

Une analyse détaillée des similitudes avec le ransomware Conti et des variations apparues sur le ransomware Monti est disponible sur le site de Trend Micro.

Comparaison de l'ancienne variante Monti et du ransomware Conti à l'aide de Bindiff par TrendMicro
Source : Trend Micro – Comparaison de l’ancienne variante Monti et du ransomware Conti à l’aide de Bindiff

Les caractéristiques uniques du Monti ransomware

Monti se distingue par quelques particularités uniques. Par exemple, les messages de rançon de Monti sont quasiment identiques à ceux de Conti, à l’exception du nom et des URL de contact spécifiques. De plus, contrairement à d’autres ransomwares qui utilisent des outils comme AnyDesk pour accéder à distance aux systèmes, Monti exploite la platteforme de surveillance et de maintenance Action1 RMM pour accéder et gérer les systèmes à distance. Cette technique leur permet de rester moins détectables tout en gardant un contrôle total sur les machines compromises.

Utilisation d’agents de contrôle comme Action1 RMM

Action1 RMM (Remote Monitoring and Management) est une solution basée sur le cloud utilisée par les fournisseurs de services informatiques gérés (MSP) et les entreprises pour gérer et surveiller à distance les ordinateurs et autres points de terminaison sur un réseau. Les administrateurs peuvent l’utiliser pour effectuer diverses tâches, telles que les mises à jour de logiciels, le déploiement d’applications, la surveillance des actifs informatiques et l’assistance aux utilisateurs.

En raison de ses capacités étendues, Action1 RMM est devenu une cible pour les cybercriminels. Comme d’autres avant eux, des pirates informatiques du groupe MONTI ont ciblé cette solution pour distribuer des rançongiciels, en exploitant des failles telles que l’accès au panneau de contrôle via des informations d’identification volées ou par force brute. Les chercheurs en sécurité ont noté que des outils comme Action1 RMM sont devenus des vecteurs d’attaque populaires pour les cybercriminels, leur permettant d’assurer leur présence sur les réseaux compromis et d’exécuter des commandes malveillantes, souvent pour déployer des rançongiciels ou maintenir une présence persistante sur les réseaux compromis.

Chiffrement des données : le cas des sauvegardes Veeam

L’équipe de Blackberry a également présenté une analyse de « Veeamp », un logiciel malveillant voleur de mot de passe ciblant l’application de sauvegarde de données Veeam, qui a été identifié au cours de l’incident survenu sur le serveur VMware Horizon de leur client.

Veeam Backup & Replication est un logiciel largement utilisé pour la sauvegarde, la restauration et la réplication des données. Il est conçu pour garantir que les entreprises puissent récupérer rapidement leurs données en cas de perte de données, de cyberattaques ou d’autres incidents. Les attaquants ciblent souvent ces systèmes de sauvegarde pour rendre plus difficile la récupération des données sans payer de rançon.

Backup Veeam verrouillé

Détails de l’attaque de Monti contre Veeam

  1. Accès initial :
    • Le groupe Monti a exploité la vulnérabilité bien connue Log4Shell (CVE-2021-44228) pour accéder au serveur VMware Horizon du client.
    • Une fois à l’intérieur, les attaquants ont utilisé divers outils pour établir et maintenir leur accès au réseau, notamment en installant des agents de surveillance et de maintenance à distance (RMM) comme AnyDesk et Action1.
  2. Déploiement de l’attaque :
    • Après avoir obtenu un accès initial, les attaquants ont utilisé des outils pour voler des identifiants, scanner le réseau, et accéder à d’autres systèmes via le protocole RDP (Remote Desktop Protocol).
    • Ils ont ensuite déployé le ransomware Monti pour chiffrer plusieurs hôtes au sein du réseau, y compris les sauvegardes basées sur Veeam.
  3. Veeamp : un malware spécifique :
    • Pendant l’incident, les chercheurs de BlackBerry ont identifié un malware spécifique, appelé « Veeamp », conçu pour voler les mots de passe de l’application de sauvegarde Veeam.
    • Veeamp.exe est un logiciel malveillant écrit en .NET 32 bits, capable de se connecter à la base de données SQL de Veeam Backup et de déchiffrer les mots de passe des utilisateurs.

Impact et risques

  • Chiffrement des sauvegardes : en chiffrant les données de sauvegarde, les attaquants rendent la restauration des systèmes encore plus difficile, augmentant la pression sur les victimes pour qu’elles paient la rançon.
  • Vol de crédentiels : le vol des mots de passe de Veeam permet aux attaquants de désactiver ou de manipuler les sauvegardes, ce qui complique davantage la récupération.
  • Persistency : les outils RMM comme AnyDesk et Action1 permettent aux attaquants de maintenir un accès persistant au réseau, facilitant de nouvelles attaques ou le déploiement de ransomware à d’autres moments.

Blackberry fourni les indicateurs de compromissions (IoCs) suivants pour Veeam :

Veeam Credential Dumper SHA-256 hashes:

  • 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
  • df492b4cc7f644ad3e795155926d1fc8ece7327c0c5c8ea45561f24f5110ce54
  • 78517fb07ee5292da627c234b26b555413a459f8d7a9641e4a9fcc1099f06a3d
Backups Veeam en erreur ?

Cas marquant en France : l’attaque sur la ville de Pau

Durant la nuit du 12 au 13 mai 2024, le groupe Monti a attaqué plusieurs entités importantes dans la région de Pau : l’aéroport Pau-Pyrénées, l’école de commerce Eklore (ex-CNPC) et le campus numérique de Pau. Le mode opératoire était similaire : après s’être infiltré, le groupe a extrait des données sensibles et paralysé les systèmes affectés. Cette cyberattaque, ainsi que l’a révélé le quotidien Sud-Ouest a touché trois institutions liées à la CCI Pau Béarn qui a aussitôt déposé une plainte auprès des autorités compétentes.

Publication des données sur le Dark Web

Les données de ces trois établissements ont finalement été publiées sur le “wall of shame” (mur de la honte) de Monti le 26 mai. Selon Zataz, des milliers de documents concernant aussi bien des documents administratifs et des dossiers sensibles de l’aéroport Pau-Pyrénées, que des dossiers comprenant les données personnelles de nombreux étudiants et collaborateurs de l’ESC de Pau. Toutes ces données pouvant potentiellement être utilisées pour des campagnes de phishing ou d’usurpation d’identité à des fins d’extorsions.

capture écran RansoomLock aperçu de l'activité de Conti
Source : capture d’écran de RansoomLock – un aperçu de l’activité de Conti ransomware
Index du leak de l’université Pau, screenshot Venarix
Source : @_venarixES_ sur X (Twitter)

Comment Monti ransomware se propage-t-il ?

Méthodes courantes de propagation

Comme beaucoup d’autres ransomwares, Monti se répand via divers vecteurs. Les méthodes les plus courantes incluent les téléchargements malveillants (drive-by downloads), les pièces jointes infectées dans les e-mails, les arnaques en ligne et les fausses mises à jour logicielles.

Conseils pour prévenir l’infection

Les conseils de prévention restent toujours les mêmes et sont plus que jamais d’actualité. Il est fortement recommandé de scanner régulièrement votre ordinateur avec un logiciel antivirus mis à jour si vous soupçonnez une infection par Monti. De plus, éviter de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources non vérifiées peut réduire considérablement les risques d’infection.

Réponse et prévention contre les ransomwares

Ne pas payer la rançon

Comme pour tous les autres ransomwares, payer une rançon pour récupérer vos données ne garantit pas forcément que les attaquants fourniront les outils de déchiffrement nécessaires. De plus, céder aux exigences des pirates soutient financièrement leurs activités illégales.

Mesures de protection

Là encore, les diverses mesures qui peuvent être prises pour se protéger contre Monti ne différent pas des conseils donnés pour les autres ransomwares. Parmi celles-ci, on trouve la mise en place de sauvegardes régulières, la formation des employés à reconnaître les tentatives de phishing et l’utilisation d’outils de sécurité avancés pour surveiller et répondre aux anomalies réseau. Suivre des pratiques de sécurité strictes, telles que l’authentification à deux facteurs, la restriction de l’accès par adresse IP, la modification régulière des mots de passe et la surveillance des activités suspectes est toujours vivement recommandé face aux menaces que font peser les ransomwares sur les organisations, les collectivités et les entreprises.

Le Monti ransomware représente une menace sérieuse pour les organisations du monde entier. Sa sophistication et son utilisation unique d’agents de surveillance à distance en font un adversaire redoutable. Alors que les méthodes de ce groupe continuent à évoluer, toutes les entreprises se doivent de renforcer leurs défenses et de demeurer vigilantes face à cette menace toujours en pleine expansion.

Références et analyses (en anglais) :

The Curious Case of “Monti” Ransomware: A Real-World Doppelganger (blackberry.com)

Monti Ransomware Unleashes a New Encryptor for Linux (trendmicro.com)

Hackers start abusing Action1 RMM in ransomware attacks (bleepingcomputer.com)

Cyberattaque sur la CCI Béarn et Soule : l’aéroport et l’école de commerce de Pau touchés (zataz.com)

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright © 2024 Recoveo | Réalisation par Tell It