Escolar Documentos
Profissional Documentos
Cultura Documentos
Análise Do Ransomware Monti Possível Cópia Do Ransomware Conti
Análise Do Ransomware Monti Possível Cópia Do Ransomware Conti
2|Página
Relatório de Inteligência e Análise de Malware
A Equipe Heimdall Intelligence da ISH identificou, em algumas postagens via Twitter, uma nova
variante denominada Monti. Algumas das postagens apontavam a referida variante como sendo o código
do ransomware Conti ou parte dele.
A partir de pesquisas sobre o referido ransomware, foi localizada uma publicação, feita pela
BlackBerry, que afirmou ter realizado a resposta ao incidente do até então desconhecido ransomware,
denominado Monti.
3|Página
Um dos pontos a serem observados é que o primeiro relato sobre o ransomware Monti foi em
30 de junho de 2022, por meio de uma postagem ao Twitter de pesquisadores de segurança da
MalwareHunterTeam, mencionando a possibilidade do ransomware ter feito de 5 a 10 vítimas.
Diante do material que foi possível obter, verificamos que esses agentes imitaram as TTPs
(Táticas, Técnicas e Procedimentos) do grupo de ransomware Conti, juntamente com muitas de suas
ferramentas e seu payload de ransomware (carga útil).
O mais provável é que os agentes tenham escolhido essa estratégia de emulação devido à
disponibilidade das comunicações internas, logs de bate-papo, guias de treinamento, identidades do
mundo real e código fonte do grupo Conti, pois todos foram vazados publicamente na internet a partir de
fevereiro de 2022. Devido ao acesso a todas as informações, podemos considerar que os agentes do Monti
as utilizaram como um guia para atividades e práticas dos seus ataques ransomware.
Figura 3. Publicação via Twitter do grupo de pesquisa MalwareHunterTeam discutindo sobre a variante Monti.
Após isso, foram identificadas mais algumas cepas desse agente, sendo que, em 6 de dezembro
de 2022, a equipe de pesquisa UNIT42 realizou uma publicação via Twitter anunciando uma nova variante
do ransomware Monti para Linux, tendo como alvo o ESXi.
4|Página
Figura 4. Publicação no Twitter da equipe de segurança UNIT42 sobre o Monti.
O agente de ameaça teria explorado uma vulnerabilidade conhecida como “Log4Shell” (CVE-
2021-44228) no sistema de virtualização VMware Horizon, voltado para a internet do cliente. Além da
exploração inicial, foi verificada a criptografia de diversos hosts, bem como a criptografia de um cluster
ESXi de três servidores, resultando na criptografia de 21 servidores virtualizados.
O acesso foi obtido por meio do servidor VMware Horizon Connection Broker graças à exploração
da supracitada vulnerabilidade. Uma vez dentro do ambiente/rede, o agente instalou o navegador Google
Chrome e o utilizou para baixar ferramentas de ataques para o servidor.
Foi constatado ainda que foram baixados e instalados dois agentes de monitoramento e
manutenção remotos, o AnyDesk e Action1. Estes realizaram o despejo de credenciais de memória e
verificaram a rede, logrando êxito ao realizar o movimento lateral para outras máquinas por meio do RDP
(Protocolo de Área de Trabalho Remota), acessando arquivos de dados em compartilhamento de rede e
implantando a carga útil do Monti.
Em tempo, com relação à plataforma RMM comercial Action1 baseada em nuvem, foi verificada
a sua não utilização em nenhum outro tipo de ataque ransomware. Outro ponto relevante é que os
executáveis do agente Action1 foram nomeados como “action1_agente.exe” e “action1_remote.exe”.
5|Página
Abaixo foram listadas as ferrmentas utilizadas pelo Monti:
Ferramenta Detalhe/Utilidade
Agente de monitoramento remoto e manutenção.
Action1 RMM
Utilizado pelos agentes para fornecer acesso remoto a uma
rede de vítimas.
Agente comercial de monitoramento remoto e manutenção.
AnyDesk RMM
Utilizado pelos agentes para fornecer acesso remoto a uma
rede de vítimas.
A biblioteca Anti-rootkit do Avast é util para remover rootkits.
Avast Anti-rootkit driver
Utilizado por agentes para remover produtos de segurança de
endpoint, como antivírus/plataformas EDR e EPPs.
Detector e removedor de rootkit.
GMER
Utilizado por agentes para remover produtos de segurança de
endpoint, como AV/EPP/EDR.
Agente de sincronização de arquivos, proprietário MEGA.io.
MegaSync
Utilizado por agentes para exfiltrar dados de redes de vítima
para o provedor de armazenamento em nuvem MEGA.
Ferramenta gratuita e de código aberto usado para despejar
Mimikatz credenciais, realizar ataques pass-the-hash/token em redes e
geralmente obter acesso a credenciais legítimas.
Ferramenta SoftrPerfect Network Scanner.
Netscan
Netscan64 Utilizado por agentes para escanear redes internas para
identificar fontes de movimento lateral.
Utilitário de suíte “SysInternal” da Microsoft projetado para
adm executarem comandos em sistemas remotos e/ou
copiarem arquivos para máquinas remotas.
PSEXEC
Utilizado pelos agentes para executar processos remotamente
e facilitar o movimento lateral.
Ferramenta de transferência de dados comumente utilizado
por adm de rede.
PuTTY
Utilizado pelos agentes para exfiltrar dados de redes da vítima.
Script do PowerShell de código aberto projetado para despejar
credenciais do software de backup Veem.
Veem-Get-Creds
Consulte: https://github.com/sadshade/veeam-creds
Descarregador de senha Veeam personalizado escrito em
Veeamp
Microsoft .NET.
6|Página
Ferramenta comercial de arquivamento de arquivo de dados
popularizada nos primórdios da internet e ainda utilidada por
entidades.
WinRAR
Frequentemente utilizada por agentes de ameaças para
arquivar dados antes da exfiltração.
Ferramenta de transferência de dados usado por
administradores de rede.
WinSCP
Utilizado por agentes de ameaças para exfiltrar dados de redes
de vítima.
7|Página
Análise Técnica do Monti
Primeiro, podemos mencionar a análise realizada em junho pela equipe BlackBerry, sendo que,
após a execução da referida carga, foi verificada a alteração da extensão “.PUUUK” aos arquivos
criptografados, apresentando a seguinte nota de resgate:
Uma observação é que essa nota de resgate é quase idêntica às notas produzidas por algumas
variantes do ransomware Conti, execeto que faz referência a uma “cepa MONTI” em vez de “cepa CONTI”.
8|Página
Comparação entre CONTI e MONTI
Uma análise realizada pela equipe da BlackBerry concluiu que o nome do arquivo, o tamanho, o
tempo de compilação, o hash da tabela de importação e a maioria dos hashes de seção (com exceção da
seção .data) da amostra equivalem às características correspondentes do executável do Monti, incluindo
o cógido Conti v3 vazado no início do ano de 2022.
Mas o que isso implica? A presença das strings “_DECRYPT_NOTE_”, “.EXTEN” e “_publickey_”
sugere que esse arquivo foi criado como um modelo para um criador de ransomware gerar cargas úteis
funcionais.
Um dos pontos relevantes é que, embora o vazamento do Conti v3 não tenha incluído o
construtor de ransomware compilado ou sua fonte, o vazamento do Conti V2 incluiu o executável do
construtor de ransomware. A análise confirmou que foi o responsável por substituir o texto do espaço
reservado mencionado acima.
Diante disso, pode-se notar muitas semelhanças do Ransomware Monti com o Ransomware
Conti v3 e v2, ambos vazados. Além do mencionado acima, foi identificado, em 07 de dezembro deste ano
(2022), um arquivo para Linux aparentando ser uma amostra do Ransomware Monti, no qual a equipe
Heimdall de Intelligência da ISH realizou a análise deste artefato.
9|Página
De início, podemos afirmar que o referido arquivo é do tipo ELF compilado para Linux 64 bits,
utilizando-se do compultador gcc, bem como informações realacionadas ao Header do arquivo.
Foram identificados também, em uma parte da análise de seção .data do referido arquivo, dizeres
relacionados a nota de resgate do ransomware Monti, conforme abaixo:
10 | P á g i n a
Figura 10. Texto em ASCII extraído do arquivo malicioso.
11 | P á g i n a
Figura 13. Chave RSA incorporada ao arquivo.
O fato relevante aqui o qual pode dar início à investigação é verificar quais são as bibliotecas
utilizadas, já que a importação destas pode ser utilizada de modo malicioso. Foram identificadas as
seguintes funções utilizadas para criptografia dos arquivos, conforme imagem abaixo:
Também foi identificada a utilização do comando Kill para processos relacionados a Máquinas
Virtuais.
Diante disso, podemos observar o comportamento do referido malware para além de máquinas,
utilizando-se tanto do sistema Operacional Windows quanto dos sistemas Operacionais Linux, tornando-
se, assim, uma ameaça universal para as empresas por atuar em ambos os SOs.
Conclusão
12 | P á g i n a
Tendo em vista que a atividade do agente Monti não foi muito relatada na comunidade
cibernética, não podemos concluir que a referida variante ou esse novo agente possam ter vida útil. Logo,
percebemos que a primeira amostra foi compilada para sistemas operacionais Windows e
posteriormente, já em dezembro, foi identificado o código para sistemas operacionais Unix, verificando
que o agente está ainda em fase de crescimento e possível expansão. É importante levar em conta que o
site de data leak do Monti ainda não possui nenhuma vítima, apenas uma publicação de teste.
Outro fato a ser observado é a utilização de TTPs de outro grupo, como o Conti, verificando
artefatos de pós-exploração parecidos, se não os mesmos. Portanto, podemos perceber similiaridades
entre o Conti e Monti.
Indicadores de Compromissos
A ISH Tecnologia realiza o tratamento de diversos Indicadores de Compromissos coletados por
meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall.
Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas à análise do(s)
artefato(s) deste relatório.
13 | P á g i n a
Vhash: 476a20635a408288ca8140f1882a61ae
Size in bytes: 1529773
14 | P á g i n a
Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a
manipulação dos referidos IoCs: evite realizar o clique e se tornar vítima do conteúdo malicioso
hospedado no IoC.
Referências
Foram coletadas informações das referências abaixo:
15 | P á g i n a
16 | P á g i n a