Ένα προηγουμένως ανώνυμο ransomware μετονομάστηκε σε “Trigona“, εγκαινιάζοντας έναν νέο ιστότοπο διαπραγματεύσεων Tor. Η νέα αυτή ομάδα φαίνεται να ζητά από τα θύματα να πληρώσουν λύτρα σε Monero crypto.
Το Trigona ransomware δραστηριοποιείται εδώ και αρκετό καιρό, με τα πρώτα δείγματα να έχουν εντοπιστεί από τις αρχές του χρόνου. Ωστόσο, αυτά τα δείγματα χρησιμοποίησαν email για διαπραγματεύσεις και η ομάδα πίσω αυτά δεν είχε κάποιο συγκεκριμένο όνομα.
Δείτε επίσης: Symoo: Ψεύτικη εφαρμογή που δημιουργεί αυτόματα λογαριασμούς
Όπως ανακαλύφθηκε από το MalwareHunterTeam, από τα τέλη Οκτωβρίου 2022, η επιχείρηση ransomware άνοιξε έναν νέο ιστότοπο διαπραγματεύσεων Tor και εκεί αναφέρθηκε επίσημα, για πρώτη φορά, το όνομα “Trigona”.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/437364/trigona-ransomware-pragmatopoiei-epitheseis-se-olo-ton-kosmo/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:402f1f83032420d86cdda7ea32399584/https://www.secnews.gr/TRIGONA-RANSOMWARE.png&description=Ένα προηγουμένως ανώνυμο ransomware μετονομάστηκε σε "Trigona", εγκαινιάζοντας έναν νέο ιστότοπο διαπραγματεύσεων Tor. Η νέα αυτή ομάδα){kind=link}
Το BleepingComputer γνωρίζει πολλά θύματα της νέας επιχείρησης ransomware, συμπεριλαμβανομένης μιας εταιρείας ακινήτων και ενός χωριού στη Γερμανία.
Trigona Ransomware: Πώς λειτουργεί;
Το BleepingComputer αναφέρει ότι ανέλυσε ένα πρόσφατο δείγμα του Trigona και διαπίστωσε ότι υποστηρίζει διάφορα command line arguments που καθορίζουν εάν κρυπτογραφούνται τα local ή τα network files, εάν προστίθεται ένα Windows autorun key κλπ.
Τα command line arguments παρατίθενται παρακάτω:
/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_onlyΚατά την κρυπτογράφηση αρχείων, το Trigona ransomware κρυπτογραφεί όλα τα αρχεία σε μια συσκευή εκτός από αυτά που βρίσκονται σε συγκεκριμένους φακέλους, όπως οι φάκελοι Windows και Program Files. Επιπλέον, το ransomware θα μετονομάσει τα κρυπτογραφημένα αρχεία, προσθέτοντας την επέκταση ._locked στο τέλος του κανονικού ονόματος.
Το ransomware θα ενσωματώσει επίσης το κρυπτογραφημένο decryption key, το campaign ID και το victim ID (όνομα εταιρείας) στα κρυπτογραφημένα αρχεία.
Δείτε επίσης: AIIMS-Δελχί: Επίθεση ransomware βγάζει δίκτυο εκτός λειτουργίας
Σε κάθε σαρωμένο φάκελο θα δημιουργηθεί ένα σημείωμα λύτρων με το όνομα how_to_decrypt.hta. Αυτό το σημείωμα δίνει μερικές πληροφορίες σχετικά με την επίθεση, παρέχει έναν σύνδεσμο προς τον ιστότοπο διαπραγμάτευσης Tor και έναν σύνδεσμο που αντιγράφει ένα authorization key στο clipboard των Windows. Αυτό είναι απαραίτητο για τη σύνδεση στο Tor site.
Αφού συνδεθεί στο Tor site, το θύμα θα λάβει πληροφορίες σχετικά με το πώς να αγοράσει Monero για να πληρώσει τα λύτρα. Υπάρχει και δυνατότητα συνομιλίας με τους φορείς του Trigona ransomware για έξτρα διαπραγμάτευση. Ο ιστότοπος προσφέρει, επίσης, τη δυνατότητα αποκρυπτογράφησης πέντε αρχείων, έως 5 MB το καθένα, δωρεάν.
Το BleepingComputer δεν έχει δει καμία ενεργή διαπραγμάτευση και προς το παρόν δεν είναι γνωστό πόσα χρήματα απαιτούν οι επιτιθέμενοι από τα θύματα.
Μετά την πληρωμή των λύτρων, τα θύματα λαμβάνουν έναν σύνδεσμο προς ένα εργαλείο αποκρυπτογράφησης και ένα keys.dat file, το οποίο περιέχει το private decryption key.
Προς το παρόν δεν γνωρίζουμε πώς γίνεται η αρχική παραβίαση των δικτύων και πώς αναπτύσσεται το Trigona ransomware στα συστήματα. Επιπλέον, τα σημειώματα λύτρων αναφέρουν ότι οι hackers έχουν κλέψει δεδομένα πριν την κρυπτογράφηση, αν και σύμφωνα με το BleepingComputer, δεν υπάρχει καμία απόδειξη για αυτό.
Δείτε επίσης: Υποκλοπές: Θα ζητήσει η εισαγγελία στοιχεία για το Predator από την Amazon;
Ωστόσο, οι επιθέσεις τους αυξάνονται παγκοσμίως και το άνοιγμα του Tor site για τις διαπραγματεύσεις, δείχνει ότι οι hackers πίσω από αυτό το ransomware είναι αποφασισμένοι να επεκτείνουν τις δραστηριότητές τους.
Τα ransomware είναι μια από τις μεγαλύτερες κυβερνοαπειλές. Υπάρχουν, όμως, μερικά πράγματα που μπορείτε να κάνετε προκειμένου να προστατευτείτε τόσο από το νέο Trigona όσο και από άλλα ransomware:
– Διατηρείτε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα:
– Εγκαταστήστε ένα πρόγραμμα προστασίας από ιούς
– Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης
– Δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
– Να είστε προσεκτικοί όταν ανοίγετε συνημμένα αρχεία ηλεκτρονικού ταχυδρομείου
– Αποφεύγετε να κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς
Πηγή: www.bleepingcomputer.com