Analisten hebben een ransomwarecampagne ontdekt van een nieuwe groep genaamd ‘Monti’, die vrijwel volledig afhankelijk is van gelekte Conti-code om aanvallen uit te voeren.
De Monti-groep kwam tijdens het weekend van Onafhankelijkheidsdag met een reeks ransomware-aanvallen op de proppen en wist deze met succes te exploiteren Log4Shell-kwetsbaarheid om twintig BlackBerry-gebruikershosts en twintig servers te versleutelen, meldde BlackBerry's Research and Intelligence Team.
Na verdere analyse ontdekten onderzoekers dat de indicatoren van compromissen (IoC’s) voor de nieuwe ransomware-aanvallen dezelfde waren als bij eerdere aanvallen. Conti ransomware-aanvallen, met één twist: Monti bevat de Acrion 1 Remote Monitoring and Maintenance (RMM) Agent.
Maar in plaats van te zijn Conti herboren, zeiden de onderzoekers dat ze geloven Monti tilde de infrastructuur van Conti op wanneer het was lekte afgelopen voorjaar, in februari en maart.
“Naarmate meer ontwikkelaars van ransomware-as-a-service (RaaS)-oplossingen en de broncode lekken, zowel publiekelijk als privé, kunnen we deze dubbelganger-achtige ransomware-groepen blijven zien groeien”, voegde het BlackBerry-team eraan toe. “Algemene bekendheid met de TTP’s [tactieken, technieken en procedures) van bekende groepen kan ons helpen de unieke kenmerken van deze op elkaar lijkende bemanningen te identificeren.”