Monti

Überblick

Monti ist eine Ransomware-Gruppe, die in ihren Anfängen nahezu den gesamten geleakten Quellcode von Conti übernahm und sich erkennbar an dessen Vorbild orientierte. Ihre Angriffe richten sich vorrangig gegen Einrichtungen aus dem öffentlichen Sektor, dem Rechtswesen sowie dem Gesundheitsbereich. Im weiteren Verlauf entwickelte die Gruppe eine neue, auf Linux-Systeme ausgerichtete Variante, die deutlich weniger Übereinstimmungen mit dem Conti-Code aufweist und damit eine zunehmende Eigenständigkeit der Schadsoftware erkennen lässt. Daneben experimentierte Monti mit einem Partnermodell, bei dem die Ransomware über angeworbene Akteure verbreitet wird. Kennzeichnend für die Gruppe ist somit die Mischung aus anfänglich übernommenem Conti-Erbe und einer schrittweisen Weiterentwicklung hin zu eigenem Schadcode und neuen Zielplattformen. Damit reiht sich Monti in jene Akteure ein, die auf bewährten, öffentlich gewordenen Ransomware-Familien aufbauen und diese für eigene Kampagnen anpassen.

Taktiken & Vorgehen

Zum Vorgehen der Gruppe gehört das Abgreifen von Zugangsdaten mit „Mimikatz“ sowie mit „Veeam-Get-Creds“, das gezielt Anmeldedaten aus Backup-Umgebungen ausliest. Zur Netzwerkerkundung wird „SoftPerfect NetScan“ eingesetzt. Um Sicherheitsmechanismen auszuhebeln, missbraucht Monti den „Avast Anti-Rootkit driver“ sowie das Werkzeug „GMER“, die ein Deaktivieren von Schutzsoftware ermöglichen. Für den Fernzugriff und die Steuerung kompromittierter Systeme kommen „AnyDesk“ sowie die Verwaltungslösung „Action1“ zum Einsatz. Die Datenausleitung erfolgt über „PSCP“, „WinSCP“ und den Cloud-Speicherdienst „MEGA“. Dieses Zusammenspiel aus Zugangsdatendiebstahl, Aufklärung, Abwehrumgehung, Fernsteuerung und Datenabfluss bildet die typische Angriffskette der Gruppe vor der eigentlichen Verschlüsselung.

Schutzmaßnahmen

Backup-Infrastrukturen sollten besonders abgesichert und ihre Anmeldedaten von der übrigen Umgebung getrennt werden, da gezielt Zugangsdaten aus Sicherungslösungen ausgelesen werden. Der Einsatz von Werkzeugen zum Auslesen von Anmeldedaten sollte durch Speicherzugriffsüberwachung und das Einschränken privilegierter Konten erschwert werden. Fernwartungs- und Verwaltungswerkzeuge sollten überwacht und nur freigegebene Anwendungen zugelassen werden, um den Missbrauch von Fernzugriffslösungen zu unterbinden. Das Nachladen verwundbarer Treiber zur Abwehrumgehung sollte durch Treiber-Sperrlisten und Manipulationsschutz der Sicherheitssoftware verhindert werden. Ausgehender Datenverkehr zu Cloud-Speicherdiensten und über Dateiübertragungswerkzeuge sollte kontrolliert und auffällige Übertragungen erkannt werden, um einen Datenabfluss frühzeitig zu unterbinden.