Saldırganlar, trigona fidye yazılımı yüklerini dağıtmak ve tüm dosyaları şifrelemek için kötü güvenli ve stajyeren maruz kalan Microsoft SQL (MS-SQL) sunucularına hackliyorlar.
MS-SQL sunucuları, korunması kolay hesap kimlik bilgilerinden yararlanan kaba kuvvet veya sözlük saldırıları yoluyla ihlal edilmektedir.
Bir sunucuya bağlandıktan sonra, tehdit aktörleri, saldırıları tespit eden Güney Koreli siber güvenlik firması Ahnlab'ın güvenlik araştırmacıları tarafından CLR Shell olarak adlandırılan kötü amaçlı yazılım dağıtıyor.
Bu kötü amaçlı yazılım, sistem bilgilerini hasat etmek, tehlikeye atılan hesabın yapılandırmasını değiştirmek ve Windows ikincil oturum açma hizmetinde (fidye yazılımlarını hizmet olarak başlatmak için gerekli olacak) bir güvenlik açığından yararlanarak ayrıcalıkları yerel sistemlere yükseltmek için kullanılır.
Ahnlab, "CLR Shell, tehdit aktörlerinden komutlar alan ve web sunucularının web kabuklarına benzer şekilde kötü niyetli davranışlar gerçekleştiren bir CLR montaj kötü amaçlı yazılım türüdür."
Bir sonraki aşamada, saldırganlar trigona fidye yazılımını svchost.exe olarak başlatmak için kullandıkları svcservice.exe hizmeti olarak bir damlalık kötü amaçlı yazılımı kurar ve başlatırlar.
Ayrıca, fidye yazılımı ikili, bir yeniden başlatmadan sonra bile sistemlerin şifrelenmesini sağlamak için bir Windows Autorun tuşu aracılığıyla her sistem yeniden başlatılmasını otomatik olarak başlatacak şekilde yapılandırırlar.
Sistemi şifrelemeden ve fidye notlarını dağıtmadan önce, kötü amaçlı yazılım sistemi kurtarmayı devre dışı bırakır ve herhangi bir Windows ses seviyesi gölge kopyalarını siler, bu da şifre çözme anahtarı olmadan kurtarmayı imkansız hale getirir.
İlk olarak Ekim 2022'de MalwareHunterTeam tarafından tespit edilen ve BleepingComputer tarafından analiz edilen Trigona Fidye Yazılımı operasyonu, dünya çapında mağdurlardan Monero kripto para biriminde fidye ödemelerini kabul etmekle bilinir.
Trigona, Windows ve Program Dosyaları dizinleri de dahil olmak üzere belirli klasörler hariç, kurban cihazlarındaki tüm dosyaları şifreler. Şifrelemeden önce, çete aynı zamanda karanlık ağ sızıntı sitesine eklenecek hassas belgeler çaldığını iddia ediyor.
Ayrıca, fidye yazılımı ._locked uzantısını ekleyerek şifreli dosyaları yeniden adlandırır ve şifreli şifre çözme anahtarını, kampanya kimliğini ve kurban kimliğini (şirket adı) her kilitli dosyaya yerleştirir.
Ayrıca, saldırı hakkında bilgi, Trigona Tor Müzakere web sitesine bir bağlantı ve müzakere sitesine giriş yapmak için gereken yetkilendirme anahtarını içeren bir bağlantı içeren her klasörde "How_to_Decrypt.hta" adlı fidye notları oluşturur.
Trigona fidye yazılımı çetesi, yılın başından beri kimlik fidye yazılımı platformuna en az 190 başvuru ile sürekli bir saldırı akışının arkasındaydı.
Ransomware'de Hafta - 17 Mart 2023 - Veri Formrost'a kayma
Ransomware'de Hafta - 21 Nisan 2023 - Crossheirs'teki Mac'ler
Capita, bilgisayar korsanlarının son siber saldırıda verileri çaldığını doğrular
Ex-Conti üyeleri ve Fin7 Devs yeni Domino kötü amaçlı yazılımları zorlamak için bir araya geliyor
Fortra, Goany Where MFT Zero-Day saldırılarıyla ilgili bulguları paylaşıyor
Kaynak: Bleeping Computer