Впервые о варианте вымогательского ПО Trigona было сообщено в октябре 2022 года. Trigona использует методику двойного вымогательства: шифрует конечные точки и/или другие объекты инфраструктуры, представляющие ценность для организации, а затем угрожает опубликовать эксфильтрованные данные с этих машин в Интернете, если не будет выплачен выкуп. В качестве доказательства того, что пользователи могут получить пострадавшие файлы обратно, угрожающий агент Trigona предлагает бесплатную расшифровку до трех файлов.
Trigona Ransomware
По некоторым данным, активность Trigona ransomware возросла к концу 2022 года.
Хотя вектор заражения не был определен, предположительными методами распространения являются развертывание через другие вредоносные программы, распространяемые с помощью электронной почты, протокола удаленного рабочего стола (RDP) и использование уязвимостей.
При запуске программа-вымогатель шифрует файлы на зараженных машинах и добавляет расширение "._locked" к зашифрованным файлам.
Она также оставляет файл "how_to_decrypt.hta". Это HTML-файл, содержащий подробную информацию о том, как восстановить зашифрованные данные, а также как связаться с автором угрозы Trigona ransomware. Хотя в примечании о выкупе имеется ссылка на загрузку браузера Tor.
После того как ссылка на страницу расшифровки скопирована и открыта в браузере Tor, жертвам Trigona ransomware открывается страница регистрации, где они могут ввести ключ, оставленный в записке о выкупе.
Согласно общедоступным сообщениям, после входа на сайт Tor жертвам предлагается купить и заплатить неизвестную сумму выкупа в криптовалюте Monero (XMR). Сайт Tor также предлагает чат поддержки жертв.
Indicators of Compromise
SHA256
- 248e7d2463bbfee6e3141b7e55fa87d73eba50a7daa25bed40a03ee82e93d7db
- 596cf4cc2bbe87d5f19cca11561a93785b6f0e8fa51989bf7db7619582f25864
- 704f1655ce9127d7aab6d82660b48a127b5f00cadd7282acb03c440f21dae5e2
- 859e62c87826a759dbff2594927ead2b5fd23031b37b53233062f68549222311
- 8f8d01131ef7a66fd220dc91388e3c21988d975d54b6e69befd06ad7de9f6079
- 97c79199c2f3f2edf2fdc8c59c8770e1cb8726e7e441da2c4162470a710b35f5
- a86ed15ca8d1da51ca14e55d12b4965fb352b80e75d064df9413954f4e1be0a7
- accd5bcf57e8f9ef803079396f525955d2cfffbf5fe8279f744ee17a7c7b9aac
- da32b322268455757a4ef22bdeb009c58eaca9717113f1597675c50e6a36960a
- e7c9ec3048d3ea5b16dce31ec01fd0f1a965f5ae1cbc1276d35e224831d307fc
- e97de28072dd10cde0e778604762aa26ebcb4cef505000d95b4fb95872ad741b
- f29b948905449f330d2e5070d767d0dac4837d0b566eee28282dc78749083684
- fa6f869798d289ee7b70d00a649145b01a93f425257c05394663ff48c7877b0d
- fbba6f4fd457dec3e85be2a628e31378dc8d395ae8a927b2dde40880701879f2
- fd25d5aca273485dec73260bdee67e5ff876eaa687b157250dfa792892f6a1b6