Trinity Ransomware IOCs

ransomware IOC

Trinity ransomware - это новый вид злонамеренного программного обеспечения, который применяет двойную стратегию вымогательства для шифрования файлов и угрозы публикации конфиденциальных данных жертв. Этот тип программы использует алгоритм шифрования ChaCha20 и помечает зашифрованные файлы расширением «.trinitylock». Она также имеет схожие черты с другими группами вымогателей, такими как 2023Lock и Venus-susch.

Trinity Ransomware

Trinity ransomware обычно попадает в системы жертв через различные векторы атак, включая фишинговые письма, вредоносные веб-сайты и использование программных уязвимостей. Оно также сканирует сеть и может осуществлять атаки на несколько систем в целевой сети. После установки, программе удается обойти протоколы безопасности и средства защиты.

Trinity ransomware шифрует файлы жертв с помощью надежного алгоритма шифрования и добавляет расширение «.trinitylock». Затем злоумышленники требуют выкупа в криптовалюте в обмен на ключ дешифрования. Она также использует сайты поддержки жертв и утечки данных, где жертвы имеют возможность загрузить образец файла для расшифровки.

Исследователи обнаружили, что Trinity ransomware имеет сходства с другими группами вымогателей, такими как Venus ransomware и 2023Lock. Они используют схожий код и тактику, включая алгоритм шифрования ChaCha20. Некоторые из жертв удалось восстановить свои файлы с помощью инструментов для восстановления данных или с помощью специалистов по кибербезопасности.

Trinity ransomware является серьезной угрозой для критически важных отраслей, особенно для здравоохранения. На данный момент известно о семи жертвах этой программы, две из которых - медицинские учреждения. Trinity ransomware утверждает, что получил доступ к большому объему конфиденциальных данных одного американского поставщика гастроэнтерологических услуг.

Хотя для Trinity ransomware пока нет известных инструментов для дешифровки, некоторые жертвы смогли восстановить свои файлы с помощью других методов. Это подчеркивает важность превентивных мер и регулярного обновления систем для защиты от таких угроз.

Indicators of Compromise

MD5

  • 949c438e4ed541877dce02b38bf593ad

SHA1

  • 4c58d2d624d9bdf6b14a6f8563788785074947a7

SHA256

  • 36696ba25bdc8df0612b638430a70e5ff6c5f9e75517ad401727be03b26d8ec4

Technical report

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий