Dem Bericht zufolge wurde die neue Variante der Monti-Ransomware unter Linux Lock implementiert, die VMware ESXi-Server und mehrere Organisationen infiziert. Der Beobachtung zufolge hat die neue Variante einen ähnlichen Quellcode wie die Conti-Ransomware. Darüber hinaus nutzt es die AES-256-CTR-Verschlüsselung, deren Verschlüsselungsverfahren von der Dateigröße abhängt.
Die Verschlüsselungsstrategie hängt von der Dateigröße ab. Wenn die Dateigröße beispielsweise zwischen 1,048 MB und 4,19 MB liegt, werden nur die ersten 100.000 Byte verschlüsselt. Wenn die Dateigröße dagegen mehr als 4,19 MB beträgt, wird der Umfang der Inhaltsverschlüsselung für einen bestimmten Teil bestimmt. Bei Dateien unter 1,048 MB würde eine vollständige Verschlüsselung erfolgen. Beim Verschlüsseln des Inhalts werden die Bytes „MONTI“ zusammen mit 256 Bytes angehängt, die sich auf den Verschlüsselungsschlüssel des Angreifers beziehen.Nach dem Verschlüsseln der Datei hängt die neue Variante der Monti-Ransomware die Erweiterung „.MONTI“ an die verschlüsselten Dateien an und erstellt in jedem Verzeichnis, in dem sie ausgeführt wird, eine Lösegeldforderung („readme.txt“).Es ist erwähnenswert, dass die Änderung des Quellcodes der Conti-Ransomware es schwierig macht, diese Malware zu identifizieren und zu entschärfen.So bleiben Sie vor Monti-Ransomware geschützt
CERT-In hat außerdem einige Gegenmaßnahmen und Best Practices empfohlen, um sich vor der Monti-Ransomware zu schützen.
Datensicherung und -wartung:Führen Sie Offline-Backups Ihrer Daten durch und testen Sie regelmäßig Wiederherstellungsverfahren.
Zugriff und Authentifizierung:Verwenden Sie sichere, eindeutige Passwörter für alle Konten.
Implementieren Sie die Multi-Faktor-Authentifizierung (MFA) für Dienste, insbesondere für Webmail und kritische Systeme.
Entfernen Sie unnötigen Zugriff auf administrative Freigaben und lassen Sie mithilfe einer hostbasierten Firewall nur administrative Freigabeverbindungen von bestimmten Computern zu.Systemsicherheit:
Aktivieren Sie geschützte Dateien im Windows-Betriebssystem.
Deaktivieren Sie Remotedesktopverbindungen oder beschränken Sie den Zugriff.
Überprüfen Sie regelmäßig die Integrität der gespeicherten Informationen.
Stellen Sie die Code-/Skriptintegrität für Datenbanken und sensible Systeme sicher.E-Mail-Sicherheit:
Implementieren Sie DMARC, DKIM und SPF für die E-Mail-Domänensicherheit.
Seien Sie vorsichtig mit E-Mail-Anhängen und Links.Software- und Betriebssystem-Updates:
Halten Sie Betriebssysteme und Anwendungen auf dem neuesten Stand.
Verwenden Sie Anwendungs-Whitelisting- und Softwareeinschränkungsrichtlinien.
Halten Sie die Antivirensoftware auf dem neuesten Stand.Surfen im Internet:
Vermeiden Sie es, unerwünschte E-Mail-Anhänge zu öffnen oder auf verdächtige Links zu klicken.
Sichere Webbrowser mit Inhaltskontrollen.Netzwerksicherheit:
Segmentieren und trennen Sie das Netzwerk in Sicherheitszonen.
Verwenden Sie Firewalls, um den Zugriff einzuschränken.
Implementieren Sie starke Authentifizierungsprotokolle.
Erwägen Sie die Deaktivierung unnötiger Dienste wie PowerShell und Skripts.
Beschränken Sie die Berechtigungen zur Softwareinstallation.
Ende des Artikels