Trigona ransomware - относительно новое семейство ransomware, которое начало свою деятельность примерно в конце октября 2022 года, хотя его образцы существовали еще в июне 2022 года. С тех пор операторы Trigona сохраняют высокую активность и постоянно обновляют свои двоичные файлы. К апрелю 2023 года Trigona начала атаковать взломанные серверы MSSQL, похищая учетные данные методом грубой силы.
Trigona Ransomware
Авторы угрозы Trigona предположительно являются той же группой, что и разработчики вымогательского ПО CryLock, из-за сходства инструментов, тактик и процедур (TTPs). Ее также связывают с группой ALPHV (также известной как BlackCat), хотя мы считаем, что любое сходство между Trigona и BlackCat ransomware в лучшем случае лишь косвенное (один из вариантов - ALPHV сотрудничала с угрожающими субъектами, развертывающими Trigona, но фактически не участвовала в ее разработке и эксплуатации).
Согласно отчету компании Arete, Trigona использовала уязвимость CVE-2021-40539 в ManageEngine для получения первоначального доступа. Кроме того, субъекты угрозы использовали ранее скомпрометированные учетные записи, получая доступ от брокеров сетевого доступа.
Для латерального перемещения используются различные инструменты, включая Splashtop (легитимный инструмент удаленного доступа), который используется для сброса дополнительных инструментов на скомпрометированную машину.
Trigona сбрасывает файл turnoff.bat (обнаруженный как Trojan.BAT.TASKILL.AE) для завершения служб и процессов, связанных с AV. Он также использует Network Scanner и Advanced Port Scanner для идентификации сетевых соединений.
По результатам анализа, проведенного AhnLab, операторы Trigona используют CLR shell в атаках на серверы MS-SQL. Этот инструмент способен выполнять множество команд, включая ту, которая сбрасывает дополнительные исполняемые файлы для повышения привилегий (nt.exe).
Trigona шифрует файлы на зараженных машинах с помощью шифрования AES. Кроме того, эта программа содержит зашифрованную конфигурацию в разделе ресурсов, которая расшифровывается при выполнении. Однако она будет использовать только определенные строки в своей конфигурации. Trigona также рандомизирует имена зашифрованных файлов и добавляет расширение ._locked при шифровании.
Операторы Trigona используют дампер учетных данных Mimikatz для сбора паролей и учетных данных, найденных на машинах жертв.
Indicators of Compromise
SHA256
- 2b40a804a6fc99f6643f8320d2668ebd2544f34833701300e34960b048485357
- 41c9080f9c90e00a431b2fb04b461584abe68576996379a97469a71be42fc6ff
- 8cbe32f31befe7c4169f25614afd1778006e4bda6c6091531bc7b4ff4bf62376
- 951fad30e91adae94ded90c60b80d29654918f90e76b05491b014b8810269f74
- a891d24823796a4ffa2fac76d92fec2c7ffae1ac1c3665be0d4f85e13acd33f9
- c7a930f1ca5670978aa6d323d16c03a97d897c77f5cff68185c8393830a6083f
- d0268d29e6d26d726adb848eff991754486880ebfd7afffb3bb2a9e91a1dbb7c
- f1e2a7f5fd6ee0c21928b1cae6e66724c4537052f8676feeaa18e84cf3c0c663
- fb128dbd4e945574a2795c2089340467fcf61bb3232cc0886df98d86ff328d1b
