Monti Ransomware : Attaque renouvelée sur les serveurs VMware ESXi
Après une absence de deux mois sans publier de victimes sur leur site de fuite de données, le gang du ransomware Monti revient à la charge, utilisant un nouveau verrouilleur Linux pour cibler les serveurs VMware ESXi, ainsi que des organismes légaux et gouvernementaux.
Préoccupé par la sécurité de vos serveurs VMware ESXi face au ransomware Monti?
Contactez-nous dès aujourd'hui et découvrez comment Dhala Cyberdéfense peut renforcer la sécurité de votre infrastructure.
Parlez à nos experts en cybersécuritéNouveau verrouilleur Linux
Contrairement aux versions précédentes du verrouilleur Monti qui étaient largement basées (à 99%) sur le code divulgué du ransomware Conti, les similarités dans ce nouveau verrouilleur ne représentent que 29%. Parmi les modifications significatives observées par Trend Micro, citons :
- Suppression des paramètres
--size,--log, et--vmlistet ajout d’un nouveau paramètre-type=softpour arrêter les machines virtuelles ESXi de manière plus discrète. - Ajout d’un paramètre
--whitelistpour ordonner au verrouilleur de passer spécifiquement certaines machines virtuelles ESXi sur l’hôte. - Modification des fichiers
/etc/motdetindex.htmlpour afficher le contenu de la note de rançon lors de la connexion de l’utilisateur. - Ajout de la signature byte “MONTI” ainsi que de 256 bytes supplémentaires liés à la clé de chiffrement aux fichiers chiffrés.
- Vérification de la taille du fichier (s’il est inférieur ou supérieur à 261 bytes), chiffrement des petits fichiers, et vérification de la présence de la chaîne “MONTI” sur les plus grands.
- Utilisation de la méthode de chiffrement AES-256-CTR provenant de la bibliothèque OpenSSL, à la différence de la variante précédente qui utilisait Salsa20.
- Les fichiers dont la taille est comprise entre 1.048MB et 4.19MB n’ont que les 100 000 premiers bytes chiffrés, tandis que les fichiers de taille inférieure à 1.048MB sont entièrement chiffrés.
Le nouveau variant ajoute l’extension .MONTI aux fichiers chiffrés et génère une note de rançon (readme.txt) dans chaque répertoire qu’il traite.
Contexte du ransomware Monti
Repéré pour la première fois en juin 2022 et documenté publiquement par BlackBerry un mois plus tard, le ransomware Monti est apparu comme un clone de Conti, utilisant la majeure partie de son code suite à une fuite d’un chercheur ukrainien.
Malgré le faible volume d’attaques, l’acteur de la menace n’a pas attiré beaucoup d’attention, avec un seul rapport par Fortinet en janvier 2023 examinant brièvement leur verrouilleur Linux.
Les membres du gang ne se considèrent pas comme des cybercriminels et n’estiment pas leur logiciel malveillant. Ils désignent leurs outils comme des utilitaires révélant des problèmes de sécurité dans les réseaux d’entreprise et qualifient leurs attaques de tests de pénétration, pour lesquels ils souhaitent être rémunérés.
Conclusion
La menace que représente le ransomware Monti, en particulier avec ses nouvelles variantes ciblant les serveurs VMware ESXi, est un rappel du paysage de cybersécurité en constante évolution dans lequel nous opérons. Alors que les cybercriminels perfectionnent continuellement leurs outils et techniques, il est impératif pour les entreprises de rester informées et protégées.
Si vous êtes préoccupé par la sécurité de vos systèmes ou si vous souhaitez en savoir plus sur la manière de protéger votre infrastructure contre de telles menaces, n’hésitez pas à contacter notre équipe chez Dhala Cyberdéfense. Nous sommes ici pour vous aider à naviguer dans ce monde complexe et à garantir que vos actifs numériques restent sécurisés.
Pour en savoir plus sur les attaques récentes de ransomware, consultez nos articles sur l’attaque ransomware en Suisse et la fuite de données des Hooligans ainsi que sur l’utilisation de torrents suite à une vulnérabilité MOVEit par le ransomware Clop. Découvrez également notre guide pour vous prémunir contre les ransomwares ici.
