1|Página

Receba alertas e informações sobre segurança

cibernética rapidamente, por meio do nosso
Twitter:
https://twitter.com/heimdallish

2|Página
 Relatório de Inteligência e Análise de Malware

A Equipe Heimdall Intelligence da ISH identificou, em algumas postagens via Twitter, uma nova
variante denominada Monti. Algumas das postagens apontavam a referida variante como sendo o código
do ransomware Conti ou parte dele.

Figura 1. Print da página de Data Leak disponível na Deep Web.

Figura 2 . Publicação de teste do site de leak do Monti.

A partir de pesquisas sobre o referido ransomware, foi localizada uma publicação, feita pela
BlackBerry, que afirmou ter realizado a resposta ao incidente do até então desconhecido ransomware,
denominado Monti.

3|Página
 Um dos pontos a serem observados é que o primeiro relato sobre o ransomware Monti foi em
30 de junho de 2022, por meio de uma postagem ao Twitter de pesquisadores de segurança da
MalwareHunterTeam, mencionando a possibilidade do ransomware ter feito de 5 a 10 vítimas.

Quem é Monti? E como surgiu?

Esse grupo ou agente de ameaças é pouco conhecido na comunidade, tendo em vista as poucas
evidências de atividades sobre o agente. Aquelas que foram localizadas são datadas de maio a junho de
2022.

Diante do material que foi possível obter, verificamos que esses agentes imitaram as TTPs
(Táticas, Técnicas e Procedimentos) do grupo de ransomware Conti, juntamente com muitas de suas
ferramentas e seu payload de ransomware (carga útil).

O mais provável é que os agentes tenham escolhido essa estratégia de emulação devido à
disponibilidade das comunicações internas, logs de bate-papo, guias de treinamento, identidades do
mundo real e código fonte do grupo Conti, pois todos foram vazados publicamente na internet a partir de
fevereiro de 2022. Devido ao acesso a todas as informações, podemos considerar que os agentes do Monti
as utilizaram como um guia para atividades e práticas dos seus ataques ransomware.

Conforme afirmamos, a primeira menção ao Monti aconteceu no Twitter, publicada pela

MalwareHunterTeam em 30 de junho de 2022.

Figura 3. Publicação via Twitter do grupo de pesquisa MalwareHunterTeam discutindo sobre a variante Monti.

Após isso, foram identificadas mais algumas cepas desse agente, sendo que, em 6 de dezembro
de 2022, a equipe de pesquisa UNIT42 realizou uma publicação via Twitter anunciando uma nova variante
do ransomware Monti para Linux, tendo como alvo o ESXi.

4|Página
 Figura 4. Publicação no Twitter da equipe de segurança UNIT42 sobre o Monti.

Incidente de Segurança reportado pela BlackBerry

Diante da importância em entender a referida ameaça, coletamos alguns dos principais pontos
informados pelo relatório da BlackBerry, dos quais podemos adquirir conhecimento e munição para
investigações futuras no caso de incidentes relacionados ao referido agente.

O agente de ameaça teria explorado uma vulnerabilidade conhecida como “Log4Shell” (CVE-
2021-44228) no sistema de virtualização VMware Horizon, voltado para a internet do cliente. Além da
exploração inicial, foi verificada a criptografia de diversos hosts, bem como a criptografia de um cluster
ESXi de três servidores, resultando na criptografia de 21 servidores virtualizados.

O acesso foi obtido por meio do servidor VMware Horizon Connection Broker graças à exploração
da supracitada vulnerabilidade. Uma vez dentro do ambiente/rede, o agente instalou o navegador Google
Chrome e o utilizou para baixar ferramentas de ataques para o servidor.

Foi constatado ainda que foram baixados e instalados dois agentes de monitoramento e
manutenção remotos, o AnyDesk e Action1. Estes realizaram o despejo de credenciais de memória e
verificaram a rede, logrando êxito ao realizar o movimento lateral para outras máquinas por meio do RDP
(Protocolo de Área de Trabalho Remota), acessando arquivos de dados em compartilhamento de rede e
implantando a carga útil do Monti.

Em tempo, com relação à plataforma RMM comercial Action1 baseada em nuvem, foi verificada
a sua não utilização em nenhum outro tipo de ataque ransomware. Outro ponto relevante é que os
executáveis do agente Action1 foram nomeados como “action1_agente.exe” e “action1_remote.exe”.

Ferramentas identificadas no ataque Ransomware

O agente utilizou dois sites conhecidos para transferência de arquivos temporários, dropmefiles
e temp, para baixar ferramentas para a rede e exfiltrar dados, aproveitando-se do navegador Google
Chrome para obter acesso aos sites.

5|Página
 Abaixo foram listadas as ferrmentas utilizadas pelo Monti:

Ferramenta Detalhe/Utilidade
Agente de monitoramento remoto e manutenção.
Action1 RMM
Utilizado pelos agentes para fornecer acesso remoto a uma
rede de vítimas.
Agente comercial de monitoramento remoto e manutenção.
AnyDesk RMM
Utilizado pelos agentes para fornecer acesso remoto a uma
rede de vítimas.
A biblioteca Anti-rootkit do Avast é util para remover rootkits.
Avast Anti-rootkit driver
Utilizado por agentes para remover produtos de segurança de
endpoint, como antivírus/plataformas EDR e EPPs.
Detector e removedor de rootkit.
GMER
Utilizado por agentes para remover produtos de segurança de
endpoint, como AV/EPP/EDR.
Agente de sincronização de arquivos, proprietário MEGA.io.
MegaSync
Utilizado por agentes para exfiltrar dados de redes de vítima
para o provedor de armazenamento em nuvem MEGA.
Ferramenta gratuita e de código aberto usado para despejar
Mimikatz credenciais, realizar ataques pass-the-hash/token em redes e
geralmente obter acesso a credenciais legítimas.
Ferramenta SoftrPerfect Network Scanner.
Netscan
Netscan64 Utilizado por agentes para escanear redes internas para
identificar fontes de movimento lateral.
Utilitário de suíte “SysInternal” da Microsoft projetado para
adm executarem comandos em sistemas remotos e/ou
copiarem arquivos para máquinas remotas.
PSEXEC
Utilizado pelos agentes para executar processos remotamente
e facilitar o movimento lateral.
Ferramenta de transferência de dados comumente utilizado
por adm de rede.
PuTTY
Utilizado pelos agentes para exfiltrar dados de redes da vítima.
Script do PowerShell de código aberto projetado para despejar
credenciais do software de backup Veem.
Veem-Get-Creds
Consulte: https://github.com/sadshade/veeam-creds
Descarregador de senha Veeam personalizado escrito em
Veeamp
Microsoft .NET.

6|Página
 Ferramenta comercial de arquivamento de arquivo de dados
popularizada nos primórdios da internet e ainda utilidada por
entidades.
WinRAR
Frequentemente utilizada por agentes de ameaças para
arquivar dados antes da exfiltração.
Ferramenta de transferência de dados usado por
administradores de rede.
WinSCP
Utilizado por agentes de ameaças para exfiltrar dados de redes
de vítima.

A tabela é correspondente às ferramentas utilizadas pelo agente de ameaças.

7|Página
Análise Técnica do Monti
Primeiro, podemos mencionar a análise realizada em junho pela equipe BlackBerry, sendo que,
após a execução da referida carga, foi verificada a alteração da extensão “.PUUUK” aos arquivos
criptografados, apresentando a seguinte nota de resgate:

Figura 5. Nota de resgate do Monti.

Uma observação é que essa nota de resgate é quase idêntica às notas produzidas por algumas
variantes do ransomware Conti, execeto que faz referência a uma “cepa MONTI” em vez de “cepa CONTI”.

8|Página
Comparação entre CONTI e MONTI
Uma análise realizada pela equipe da BlackBerry concluiu que o nome do arquivo, o tamanho, o
tempo de compilação, o hash da tabela de importação e a maioria dos hashes de seção (com exceção da
seção .data) da amostra equivalem às características correspondentes do executável do Monti, incluindo
o cógido Conti v3 vazado no início do ano de 2022.

Figura 6. Contém as strings dentro do payload do Monti e do Conti v3 vazado.

Mas o que isso implica? A presença das strings “_DECRYPT_NOTE_”, “.EXTEN” e “_publickey_”
sugere que esse arquivo foi criado como um modelo para um criador de ransomware gerar cargas úteis
funcionais.

Um dos pontos relevantes é que, embora o vazamento do Conti v3 não tenha incluído o
construtor de ransomware compilado ou sua fonte, o vazamento do Conti V2 incluiu o executável do
construtor de ransomware. A análise confirmou que foi o responsável por substituir o texto do espaço
reservado mencionado acima.

Em suma, foram notadas algumas semelhanças e também grandes diferenças da amostra do

Monti para o Conti v3, sendo que devido a tal ausência, foi criada uma assinatura para localizar amostras
que fazem referência a “Monti”. O payload identificado em junho continha os bytes: 20 19 57 65 03 62
D0 AE F4 D1 68, sendo descriptografados para os dizeres “MONTI Strain” (Cepa MONTI), sendo que a
busca pelos bytes no Virus Total resultou em três arquivos que se encontram classificados na seção de
Indicadores de Comprometimento (IOC) deste relatório.

Diante disso, pode-se notar muitas semelhanças do Ransomware Monti com o Ransomware
Conti v3 e v2, ambos vazados. Além do mencionado acima, foi identificado, em 07 de dezembro deste ano
(2022), um arquivo para Linux aparentando ser uma amostra do Ransomware Monti, no qual a equipe
Heimdall de Intelligência da ISH realizou a análise deste artefato.

Análise Técnica do Monti para Linux

Ao realizar pesquisas acerca o ransomware Monti, foi localizada uma variante do ransomware
compilada para sistemas Linux, na qual a equipe procedeu a análise do artefato no intuito de obter
informações e entender o seu funcionamento para com os sistemas Linux.

9|Página
 De início, podemos afirmar que o referido arquivo é do tipo ELF compilado para Linux 64 bits,
utilizando-se do compultador gcc, bem como informações realacionadas ao Header do arquivo.

Figura 7. Análise do tipo de arquivo.

Figura 8. Análise do cabeçalho do arquivo Elf

Foi verificada ainda a utilização de 9 bibliotecas do Linux:

Figura 9. Análise de bibliotecas utilizadas

Foram identificados também, em uma parte da análise de seção .data do referido arquivo, dizeres
relacionados a nota de resgate do ransomware Monti, conforme abaixo:

10 | P á g i n a
 Figura 10. Texto em ASCII extraído do arquivo malicioso.

Figura 11. Nota de resgate extraída do Elf.

Bem como a sua chave RSA Pública:

Figura 12. Chave RSA pública incorporada ao arquivo.

11 | P á g i n a
 Figura 13. Chave RSA incorporada ao arquivo.

O fato relevante aqui o qual pode dar início à investigação é verificar quais são as bibliotecas
utilizadas, já que a importação destas pode ser utilizada de modo malicioso. Foram identificadas as
seguintes funções utilizadas para criptografia dos arquivos, conforme imagem abaixo:

Figura 14 - Funções relacionadas à criptografia do ransomware.

Também foi identificada a utilização do comando Kill para processos relacionados a Máquinas
Virtuais.

Figura 15 - Kill dos processos relacionados a máquinas virtuais.

Diante disso, podemos observar o comportamento do referido malware para além de máquinas,
utilizando-se tanto do sistema Operacional Windows quanto dos sistemas Operacionais Linux, tornando-
se, assim, uma ameaça universal para as empresas por atuar em ambos os SOs.

Conclusão

12 | P á g i n a
 Tendo em vista que a atividade do agente Monti não foi muito relatada na comunidade
cibernética, não podemos concluir que a referida variante ou esse novo agente possam ter vida útil. Logo,
percebemos que a primeira amostra foi compilada para sistemas operacionais Windows e
posteriormente, já em dezembro, foi identificado o código para sistemas operacionais Unix, verificando
que o agente está ainda em fase de crescimento e possível expansão. É importante levar em conta que o
site de data leak do Monti ainda não possui nenhuma vítima, apenas uma publicação de teste.

Outro fato a ser observado é a utilização de TTPs de outro grupo, como o Conti, verificando
artefatos de pós-exploração parecidos, se não os mesmos. Portanto, podemos perceber similiaridades
entre o Conti e Monti.

O grupo de Inteligência da ISH, o Heimdall, permanecerá monitorando novas atividades

relacionadas a essa ameaça de ransomware, o Monti.

Indicadores de Compromissos
A ISH Tecnologia realiza o tratamento de diversos Indicadores de Compromissos coletados por
meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall.
Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas à análise do(s)
artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/ analisado

md5: 4f70ac14f40c1a580203c7883ed07671
sha1: 1d134f4db4319c99568293b2c2601b3db7c5b91a
sha256: b45fe91d2e2340939781d39daf606622e6d0b9ddacd8425cb8e49c56124c1d56
Imphash: 5036747c069c42a5e12c38d94db67fad
Authenthash: b742a5d4da37963898e1ce09a17d82c01453d4363e0ab234445f6a7fec0f829c
Size in bytes: 216576

Indicadores de compromisso de artefato malicioso/ analisado

md5: 573a63e2cdedbbae968942f8ea361ad8
sha1: 9e015d3a92977db7deb1027ed1bd5ff85f7ca247
sha256: 158dcb26239a5db7a0eb67826178f1eaa0852d9d86e59afb86f04e88096a19bc
Imphash: 5036747c069c42a5e12c38d94db67fad
Authenthash: 101df415b8941be8177306da4ce831a92f74708a01e1b1e05e3ac55abd62994d
Size in bytes: 216576

Indicadores de compromisso de artefato malicioso/ analisado

md5: b774d0ad0ae7a9d3ec00281bc8682cd2
sha1: 6c8d2b7035721dd184597cfd2864b0afd28d7bd2
sha256: 702099b63cb2384e11f088d6bc33afbd43a4c91848f393581242a6a17f1b30a0
Imphash: 5036747c069c42a5e12c38d94db67fad
Authenthash: 59e2b50c328bab199e326c75d5f1852970ba119ed4a7848e453cd4f447da77a6
Size in bytes: 216576

Indicadores de compromisso de artefato malicioso/ analisado

md5: 486bd1fe562ce0c339a6c0ec8df68284
sha1: 79a2a29407c7332240a797fcdea327ea88e32cd2
sha256: edfe81babf50c2506853fd8375f1be0b7bebbefb2e5e9a33eff95ec23e867de1

13 | P á g i n a
Vhash: 476a20635a408288ca8140f1882a61ae
Size in bytes: 1529773

Indicadores de compromisso de artefato malicioso/ analisado

md5: 6345ac3f61b9f4ce64e82d3896baf1fa
sha1: 13ab5762ff5023163b1ca7c7749112b3673cd3db
sha256: 9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash: 71938e4d792a67a9a63798dbb134df549ec9b81568a731b23074b52e0d3a6f7b
Size in bytes: 28160

Indicadores de compromisso de artefato malicioso/ analisado

md5: 9325f2301ad9e5fb4cf5673fa64446ae
sha1: 2bde2bb7b02950999daba6df694a587d80ad9207
sha256: df492b4cc7f644ad3e795155926d1fc8ece7327c0c5c8ea45561f24f5110ce54
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash: f77d6ffc6aa780d60a533b42bf61df1b0e5df12184a1aee512deaebe59628516
Size in bytes: 26624

Indicadores de compromisso de artefato malicioso/ analisado

md5: c924c22fadbe9fa6ae67df401aa03d13
sha1: 65f71c07e76c2452022158537107490677629d51
sha256: 78517fb07ee5292da627c234b26b555413a459f8d7a9641e4a9fcc1099f06a3d
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash: 19477e04eedfb351635b7b454c14f741c95616e7a47c23a79d73b860d0938417
Size in bytes: 31232

Indicadores de Compromisso do Ransomware Conti para Linux – sha256
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Indicadores de Compromisso de Domínios, URL e endereços de IP considerados maliciosos

http://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion
http://monti5o7lvyrpyk26lqofnfvajtyqruwatlfaazgm3zskt3xiktudwid.onion/chat/c7c5b8b0703950c40
e6614bf957f94c1

14 | P á g i n a
Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a
manipulação dos referidos IoCs: evite realizar o clique e se tornar vítima do conteúdo malicioso
hospedado no IoC.

Referências
Foram coletadas informações das referências abaixo:

• Heimdall Threat Intelligence

• https://blogs.blackberry.com/en/2022/09/the-curious-case-of-monti-ransomware-a-real-
world-doppelganger

15 | P á g i n a
16 | P á g i n a