In un panorama digitale in continua evoluzione, un nome altisonante ha iniziato a fare eco negli angoli più oscuri del web: il gruppo Monti hacker.
Distintosi per l’inquietante somiglianza con il noto e ormai defunto gruppo Conti, Monti ha guadagnato una triste notorietà a metà del 2022, affermandosi rapidamente come una forza da non sottovalutare nel settore ransomware.

  1. Attacco all’ASL 1 Abruzzo
  2. L’arma digitale impiegata dal gruppo di attaccanti
  3. Ransomware Monti e sfruttamento delle vulnerabilità
  4. Come si svolge l’attacco?
  5. Qualcosa sulle vittime
  6. Come prevenire l’attacco ransomware?
  7. Difendere l’azienda da attacchi ransomware
gruppo ransomware monti

Attacco all’ASL 1 Abruzzo: l’opera più famosa di ransomware Monti

Il giorno 3 maggio 2023 ha rappresentato una svolta terrificante per l’ASL 1 Abruzzo, quando un attacco di Monti ransomware ha mandato in frantumi l’attività quotidiana dell’assistenza sanitaria dell’ospedale. I sistemi informatici dell’ASL sono stati violati e messi fuori uso: tutte le operazioni di routine sono state paralizzate, incluso il vitale sistema di prenotazioni online. L’attacco non è stato soltanto un colpo alla continuità operativa, ma anche una violazione allarmante della riservatezza dei pazienti, con l’esfiltrazione di dati che ha raggiunto proporzioni allarmanti.

In dettaglio, il gruppo Monti hacker ha orchestrato un assalto calcolato che ha visto l’accesso e la pubblicazione di volumi massicci di dati privati.
La portata del danno si è manifestata nella pubblicazione iniziale di 30 GB di dati, cifra che, in un secondo momento, è stata rivista drasticamente in aumento fino a 522 GB. Le informazioni rubate non erano semplici dettagli amministrativi; si trattava di documenti sensibili che spaziavano da informazioni di identificazione personale a dettagli sulle condizioni di salute dei pazienti – un vero e proprio tesoro di dati sulla vita privata di migliaia di individui.

Le reazioni alla crisi sono state rapide, ma non abbastanza per impedire ai criminali informatici Monti di procedere con le loro minacce.
Il loro ultimatum era chiaro: un riscatto doveva essere pagato, altrimenti i dati rubati sarebbero stati rilasciati pubblicamente.
Questa minaccia si è poi concretizzata, dimostrando la capacità dei cybercriminali di portare a termine le loro intimidazioni e la loro indifferenza nei confronti del benessere e della privacy dei pazienti​​.

Questo attacco non è stato solo un episodio isolato, ma un campanello d’allarme per il settore sanitario nel suo insieme. Ma veniamo al dunque.

L’arma digitale impiegata dal gruppo di attaccanti Monti

L’efficacia e l’audacia dimostrata dal gruppo Monti hacker non sono casuali ma il risultato di una comprensione approfondita e un’abile manipolazione delle vulnerabilità esistenti. Il loro modus operandi rivela una metodologia sofisticata e mirata, che va ben oltre gli schemi tradizionali di attacco ransomware.

Per prima cosa, Monti ransomware group ha mostrato una capacità notevole nell’adattare i propri strumenti alle piattaforme bersaglio.
Il loro arsenale include varianti del ransomware capaci di colpire sia sistemi:

  • Windows
  • Linux

un fattore distintivo poiché molti attacchi ransomware tendono a concentrarsi su un unico sistema operativo.
In particolare, l’adattamento per colpire server VMware ESXi indica una chiara intenzione di interrompere infrastrutture critiche e massimizzare il danno​.

Il Monti ransomware ha utilizzato un encryptor aggiornato con nuove funzionalità che rendono la decrittazione ancora più ardua.
Ad esempio, l’adozione della cifratura AES-256-CTR è una scelta strategica che offre una resistenza considerevole ai tentativi di decifratura senza la chiave corretta. Inoltre, le modifiche apportate al file “motd” (Message of the Day) dei sistemi infetti rendono meno evidente l’avvenuta infezione, complicando così l’identificazione e la risposta tempestiva all’attacco​​.

Ransomware Monti e sfruttamento delle vulnerabilità

Monti ransomware e Conti ransomware, non solo assonanza ma tecnica di attacco simile

Il Monti ransomware è stato più volte collegato a una variante del ben più noto: CONTI ransomware.
Dopo una violazione e una fuga di dati subita dal gruppo CONTI nel febbraio 2022, Monti sembra aver preso spunto o forse ereditato parte del loro toolkit, indicando la possibilità di una sovrapposizione tra i gruppi o di una trasmissione di expertise.

Questo mix di tecniche avanzate e strategie adattive rende il gruppo Monti particolarmente pericoloso e difficile da contrastare.

Come si svolge l’attacco?

Gli attacchi ransomware del gruppo Monti, come quelli di altri gruppi di cybercriminali, seguono una sequenza di fasi che mirano a massimizzare l’impatto e assicurare che gli aggressori ottengano un guadagno, solitamente sotto forma di riscatto. Ecco una descrizione dettagliata del loro modus operandi basata sulle informazioni raccolte:

Infiltrazione iniziale

Il gruppo Monti sfrutta vulnerabilità conosciute, come Log4Shell, per ottenere l’accesso iniziale a un sistema o rete.
Questo può avvenire attraverso tecniche di phishing, exploit di vulnerabilità di rete non patchate, o sfruttando configurazioni deboli o credenziali compromesse​​.
Una volta dentro, i cybercriminali cercano di espandere il loro controllo all’interno della rete. Ciò può includere l’escalation dei privilegi, il movimento laterale per accedere ad altri sistemi e l’installazione di backdoors per garantire l’accesso persistente.

Identificazione e esfiltrazione dei dati

Gli hacker di Monti identificano i dati sensibili e critici all’interno della rete. Questi possono essere documenti personali, informazioni finanziarie, dati sanitari, ecc. Una volta individuati, procedono con l’esfiltrazione di questi dati fuori dalla rete verso server controllati dal gruppo​​​​.

Cifratura dei dati

Con l’uso di un encryptor, che nel caso del Monti ransomware può essere una variante adattata per colpire sistemi Linux, in particolare server VMware ESXi, i dati vengono cifrati utilizzando algoritmi robusti come AES-256-CTR. Questo rende i dati inaccessibili senza una chiave di decrittazione​​​​.

Richiesta di riscatto

Dopo la cifratura dei dati, gli aggressori lasciano una nota di riscatto con istruzioni su come pagare per ottenere la chiave di decrittazione. Di solito richiedono pagamenti in criptovaluta per mantenere l’anonimato.
Per esercitare ulteriore pressione sulle vittime affinché paghino, i criminali Monti minacciano di pubblicare o vendere i dati rubati se il riscatto non viene pagato. Questo è noto come double extortion e aggiunge un ulteriore livello di coercizione​​.

Pubblicazione dei dati

Se il riscatto non viene pagato, il gruppo Monti procede a rendere pubblici i dati o a venderli nel dark web, come dimostrato dall’incidente dell’ASL 1 Abruzzo, dove un enorme volume di dati sanitari è stato effettivamente pubblicato online​​​​.

Mantenimento dell’accesso

Anche dopo l’esecuzione di un attacco di successo, il gruppo può mantenere l’accesso alla rete per potenziali attacchi futuri o per raccogliere ulteriori riscatti.
Questo flusso di attacco mostra un’operazione altamente sofisticata e calcolata, progettata per garantire che ogni fase massimizzi le probabilità di successo e profitto per i criminali informatici.

monti ransom note

Gruppo Monti ransomware, qualcosa sulle vittime

Dalle informazioni raccolte, è evidente che il gruppo di Monti ransomware ha focalizzato i suoi attacchi su specifici settori.
Nel periodo che va da marzo ad agosto 2023, i loro bersagli sono stati principalmente organizzazioni all’interno dei settori legal e governativi.

Come prevenire l’attacco ransomware?

Per prevenire gli attacchi ransomware è essenziale avere un sistema di backup robusto e regolare, assicurarsi che tutti i software siano aggiornati con le ultime patch di sicurezza, e avere una buona soluzione di sicurezza con protezione specifica contro i ransomware.
Inoltre, è fondamentale educare gli utenti su come riconoscere e evitare email sospette o phishing, nonché implementare politiche di sicurezza rigorose come il principio del privilegio minimo per gli accessi agli account.

Difendere l’azienda da attacchi ransomware come Monti

Per difendersi attivamente dagli attacchi ransomware, è cruciale rafforzare la sicurezza della rete e del perimetro aziendale.
I servizi avanzati di Onorato Informatica offrono una protezione completa, monitorando la rete e blindando i dispositivi contro intrusioni e software malevoli. Con una combinazione di firewall di ultima generazione, sistemi di prevenzione delle intrusioni e soluzioni antivirus sofisticate, Onorato Informatica si impegna a mantenere i tuoi dati al sicuro, garantendo la pace della mente necessaria per concentrarsi sul core business senza timori.