【図表】

図 1 - 「MONTI 株」のランサムウェアインシデントの概要

図 2 - 2022 年 6 月 30 日のツイート、「MONTI 株」のランサムウェアについて

図 3 - リークした「CobaltStrike MANUALS_V2 Active Directory」ドキュメントに含まれる AnyDesk のインストール手順の例

図 4 - VirusTotal で検出された action1_agent.exe のファイルバージョン情報

図 5 - DropMeFiles 経由での lsass.DMP の流出を示すスクリーンショット

図 6 - ファイルサイズに基づく暗号化モードの選択を示す、Martire 氏、Ragusa 氏、および Mella 氏の 2022 年の記事からのスクリーンショット
出典: https://blogs.blackberry.com/ja/jp/2022/10/the-curious-case-of-monti-ransomware-a-real-world-doppelganger

【要約】

Montiはランサムウェア攻撃に関連する技術的な詳細を解析した結果、Contiランサムウェアの変種を使用していることが明らかになりました。攻撃者は「locker.exe」というファイルを使用し、Chromeブラウザーを介してペイロードをダウンロードしました。このマルウェアはファイルを暗号化し、「.PUUUK」拡張子を追加して脅迫状を生成しました。この脅迫状はContiランサムウェアの変種と非常に類似しています。

Conti v3コードのリークとMontiの攻撃に関連性を評価する過程で、実行可能ファイルの特性やタイムスタンプ、暗号化手法などの相違点が明らかになりました。Monti攻撃はConti v3ビルダーにアクセスできなかった可能性が高く、代わりにリークしたConti v3実行可能ファイルを手動で変更した可能性があります。さらに、Monti攻撃の特徴を特定するためにシグネチャを作成し、関連ファイルを検出しました。

MontiグループはVeeamの資格情報をダンプするマルウェアも使用しており、これがYanluowangランサムウェアと関連付けられることもありますが、資格情報ダンパーはランサムウェアではなく、Veeamの資格情報をダンプするものであることが明確にされています。最後に、Montiグループの活動は短期間でしたが、今後もこのようなランサムウェアグループが増加する可能性があり、既知のグループとの相違点を識別することが重要であると締めくくられました。

【ブログ】

◆詳細解析によって明らかになった「Monti」ランサムウェアの興味深い事実：現実世界におけるContiのドッペルゲンガー (Blackberry, 2022/10/14)
https://blogs.blackberry.com/ja/jp/2022/10/the-curious-case-of-monti-ransomware-a-real-world-doppelganger