MKD-CIRT National Centre for Computer Incident Response
Напаѓачите хакираат слабо обезбедени и интернирани Microsoft SQL (MS-SQL) сервери за да шират Trigona ransomware и да ги шифрираат сите датотеки.
MS-SQL серверите се пробиени преку brute-force или dictionary напади со цел да ги погодат акредитивите на сметката.
Откако ќе се поврзат со сервер, напаѓачите шират малициозен софтвер наречен CLR Shell од страна на безбедносните истражувачи од јужнокорејската компанија за сајбер безбедност AhnLab кои ги забележале нападите.
Овој малициозен софтвер се користи за собирање информации за системот, за менување на конфигурацијата на компромитирана сметка и за зголемување на привилегиите на LocalSystem преку искористување на ранливост во Windows Secondary Logon Service (која ќе биде потребна за стартување на ransomware како услуга).
„CLR Shell е тип на CLR assembly малициозен софтвер кој прима команди од заканите и врши малициозни дејства, слично како WebShells на веб-сервери“, изјави AhnLab.
Во следната фаза, напаѓачите инсталираат и лансираат малициозен софтвер како услуга svcservice.exe, која ја користат за лансирање на Trigona ransomware како svchost.exe.
Тие, исто така, го конфигурираат бинарниот ransomware автоматски да се стартува при секое рестартирање на системот преку клуч за автоматско стартување на Windows за да се осигура дека системите ќе бидат шифрирани дури и по рестартирање.
Пред да го шифрира системот и да распореди белешки за откуп, малициозниот софтвер го оневозможува обновувањето на системот и ги брише сите копии на Windows Volume Shadow, што го прави обновувањето невозможно без клучот за дешифрирање.
За прв пат забележана во октомври 2022 година од страна на MalwareHunterTeam и анализирана од BleepingComputer, Trigona ransomware операцијата е позната по тоа што прифаќа само плаќања за откуп во Monero криптовалута од жртви ширум светот.
Trigona ги шифрира сите датотеки на уредите на жртвите, освен оние во одредени папки, вклучувајќи ги Windows и Program Files директориумите. Пред шифрирањето, хакерската група исто така тврди дека краде чувствителни документи кои ќе бидат додадени на нејзината темна веб-страница.
Дополнително, ransomware ги преименува шифрираните датотеки со додавање на ._locked екстензијата и ги вградува шифрираниот клуч за дешифрирање, ID на кампањата и ID на жртвата (име на компанијата) во секоја заклучена датотека.
Исто така, создава белешки за откуп со име „how_to_decrypt.hta“ во секоја папка со информации за нападот, врска до Trigona Tor веб-страницата за преговарање и врска што го содржи клучот за овластување потребен за најавување на страницата за преговори.
Trigona ransomware групата стои зад постојан прилив на напади, со најмалку 190 поднесоци на ID Ransomware платформата од почетокот на годината.
Извор: BleepingComputer
