Σύμφωνα με νέα ευρήματα ερευνητών ασφαλείας, εγκληματίες του κυβερνοχώρου εισβάλλουν σε μη ασφαλείς και εκτεθειμένους Microsoft SQL (MS-SQL) servers για να αναπτύξουν Trigona ransomware payloads και να κρυπτογραφήσουν τα αρχεία.
Οι MS-SQL servers παραβιάζονται μέσω επιθέσεων brute-force ή dictionary. Πρόκειται για επιθέσεις που εκμεταλλεύονται τα εύκολα credentials λογαριασμών, αυτά δηλαδή που μπορεί κάποιος να τα μαντέψει εύκολα.
Μετά τη σύνδεση σε έναν server, οι επιτιθέμενοι αναπτύσσουν ένα malware, το οποίο οι ερευνητές της εταιρείας κυβερνοασφάλειας AhnLab, το ονόμασαν CLR Shell.
Δείτε επίσης: Fortra: Δημοσιοποίησε επιθέσεις zero-day στο GoAnywhere MFT
 servers για να αναπτύξουν Trigona ransomware){kind=link}
Αυτό το κακόβουλο λογισμικό χρησιμοποιείται για τη συλλογή πληροφοριών συστήματος, την αλλαγή της διαμόρφωσης του παραβιασμένου λογαριασμού και την κλιμάκωση των προνομίων στο LocalSystem. Το malware εκμεταλλεύεται μια ευπάθεια στο Windows Secondary Logon Service (κάτι που είναι απαραίτητο για την εκκίνηση του Trigona ransomware ως υπηρεσία).
Στο επόμενο στάδιο της επίθεσης (μετά την ανάπτυξη του CLR Shell malware), οι εισβολείς εγκαθιστούν ένα dropper malware ως svcservice.exe service. Αυτό το χρησιμοποιούν για να εκκινήσουν το Trigona ransomware ως svchost.exe.
Επιπλέον, ρυθμίζουν το ransomware binary ώστε να εκκινείται αυτόματα σε κάθε επανεκκίνηση του συστήματος μέσω ενός Windows autorun key για να διασφαλίσουν ότι τα συστήματα θα κρυπτογραφηθούν ακόμα και μετά από επανεκκίνηση.
Το ransomware θα αρχίσει να απενεργοποιεί συστήματα ασφαλείας, όπως το recovery system, ενώ ακόμα διαγράφει τυχόν αντίγραφα που έχουν δημιουργηθεί μέσω Windows Volume Shadow copies. Με αυτό τον τρόπο, οι επιτιθέμενοι αυξάνουν τις πιθανότητες να λάβουν τα λύτρα, αφού τα θύματα μπορεί να μην έχουν αντίγραφα ασφαλείας για τα δεδομένα τους κάπου αλλού. Έτσι, η ανάκτηση των αρχείων μπορεί να γίνει μόνο μέσω του εργαλείου αποκρυπτογράφησης των hackers.
Δείτε επίσης: Οι ομάδες ransomware χρησιμοποιούν το AuKill για να απενεργοποιήσουν το EDR software
Trigona ransomware
To Trigona ransomware εντοπίστηκε για πρώτη φορά τον Οκτώβριο του 2022 από το MalwareHunterTeam και αναλύθηκε από το BleepingComputer. Οι hackers πίσω από αυτό το ransomware ζητούν λύτρα για την αποκρυπτογράφηση των αρχείων των θυμάτων, αλλά τα θέλουν σε Monero crypto. Επιθέσεις έχουν εντοπιστεί σε όλο τον κόσμο.
Το Trigona κρυπτογραφεί όλα τα αρχεία στις συσκευές των θυμάτων, εκτός από αυτά που βρίσκονται σε συγκεκριμένους φακέλους, συμπεριλαμβανομένων των Windows και Program Files directories. Όπως κάνουν οι περισσότερες ransomware συμμορίες σήμερα, έτσι και η Trigona ισχυρίζεται ότι κλέβει ευαίσθητα έγγραφα πριν την κρυπτογράφηση, για να τα διαρρεύσει σε περίπτωση που δεν πληρώνουν τα θύματα.
Το Trigona ransomware μετονομάζει τα κρυπτογραφημένα αρχεία προσθέτοντας την επέκταση ._locked. Τέλος, αφήνει σημειώματα λύτρων με το όνομα “how_to_decrypt.hta” σε κάθε φάκελο με πληροφορίες σχετικά με την επίθεση. Εκεί, υπάρχει ένας σύνδεσμος προς τον ιστότοπο διαπραγμάτευσης Trigona Tor και έναν σύνδεσμο που περιέχει το authorization key που απαιτείται για τη σύνδεση στον ιστότοπο διαπραγμάτευσης.
Η συμμορία ransomware Trigona βρίσκεται πίσω από πολλές επιθέσεις, με τουλάχιστον 190 υποβολές στην πλατφόρμα ID Ransomware από την αρχή του τρέχοντος έτους.
Δείτε επίσης: Η Google διορθώνει ένα άλλο ενεργό exploit του Chrome zero-day
Οι επιθέσεις ransomware μπορούν να προκαλέσουν σημαντική ζημιά στην προσωπική και επαγγελματική σας ζωή. Ωστόσο, με τη λήψη προληπτικών μέτρων και την επαγρύπνηση, μπορείτε να προστατευτείτε από αυτού του είδους την απειλή. Θυμηθείτε να διατηρείτε το λογισμικό σας ενημερωμένο, να χρησιμοποιείτε λογισμικό προστασίας από ιούς, να δημιουργείτε αντίγραφα ασφαλείας των σημαντικών αρχείων σας και να είστε προσεκτικοί όταν κάνετε κλικ σε συνδέσμους ή κάνετε λήψη συνημμένων. Εφαρμόζοντας αυτές τις βέλτιστες πρακτικές, θα είστε καλύτερα εξοπλισμένοι για να αποφύγετε να γίνετε θύμα ransomware.
Πηγή: www.bleepingcomputer.com