Trigona Ransomware IOCs

ransomware IOC

Впервые о варианте вымогательского ПО Trigona было сообщено в октябре 2022 года. Trigona использует методику двойного вымогательства: шифрует конечные точки и/или другие объекты инфраструктуры, представляющие ценность для организации, а затем угрожает опубликовать эксфильтрованные данные с этих машин в Интернете, если не будет выплачен выкуп. В качестве доказательства того, что пользователи могут получить пострадавшие файлы обратно, угрожающий агент Trigona предлагает бесплатную расшифровку до трех файлов.

Trigona Ransomware

По некоторым данным, активность Trigona ransomware возросла к концу 2022 года.

Хотя вектор заражения не был определен, предположительными методами распространения являются развертывание через другие вредоносные программы, распространяемые с помощью электронной почты, протокола удаленного рабочего стола (RDP) и использование уязвимостей.

При запуске программа-вымогатель шифрует файлы на зараженных машинах и добавляет расширение "._locked" к зашифрованным файлам.

Она также оставляет файл "how_to_decrypt.hta". Это HTML-файл, содержащий подробную информацию о том, как восстановить зашифрованные данные, а также как связаться с автором угрозы Trigona ransomware. Хотя в примечании о выкупе имеется ссылка на загрузку браузера Tor.

После того как ссылка на страницу расшифровки скопирована и открыта в браузере Tor, жертвам Trigona ransomware открывается страница регистрации, где они могут ввести ключ, оставленный в записке о выкупе.

Согласно общедоступным сообщениям, после входа на сайт Tor жертвам предлагается купить и заплатить неизвестную сумму выкупа в криптовалюте Monero (XMR). Сайт Tor также предлагает чат поддержки жертв.

Indicators of Compromise

SHA256

  • 248e7d2463bbfee6e3141b7e55fa87d73eba50a7daa25bed40a03ee82e93d7db
  • 596cf4cc2bbe87d5f19cca11561a93785b6f0e8fa51989bf7db7619582f25864
  • 704f1655ce9127d7aab6d82660b48a127b5f00cadd7282acb03c440f21dae5e2
  • 859e62c87826a759dbff2594927ead2b5fd23031b37b53233062f68549222311
  • 8f8d01131ef7a66fd220dc91388e3c21988d975d54b6e69befd06ad7de9f6079
  • 97c79199c2f3f2edf2fdc8c59c8770e1cb8726e7e441da2c4162470a710b35f5
  • a86ed15ca8d1da51ca14e55d12b4965fb352b80e75d064df9413954f4e1be0a7
  • accd5bcf57e8f9ef803079396f525955d2cfffbf5fe8279f744ee17a7c7b9aac
  • da32b322268455757a4ef22bdeb009c58eaca9717113f1597675c50e6a36960a
  • e7c9ec3048d3ea5b16dce31ec01fd0f1a965f5ae1cbc1276d35e224831d307fc
  • e97de28072dd10cde0e778604762aa26ebcb4cef505000d95b4fb95872ad741b
  • f29b948905449f330d2e5070d767d0dac4837d0b566eee28282dc78749083684
  • fa6f869798d289ee7b70d00a649145b01a93f425257c05394663ff48c7877b0d
  • fbba6f4fd457dec3e85be2a628e31378dc8d395ae8a927b2dde40880701879f2
  • fd25d5aca273485dec73260bdee67e5ff876eaa687b157250dfa792892f6a1b6
SEC-1275-1
Добавить комментарий