Finance Industries’e Saldıran Yeni Trigona Fidye Yazılımına Dikkat Edin


Yeni Trigona Fidye Yazılımı

Unit 42 araştırmacılarına göre nispeten yeni olan Trigona fidye yazılımı türü, özellikle Aralık 2022’de aktifti ve imalat, finans, inşaat, tarım, pazarlama ve yüksek teknoloji sektörlerini hedefliyordu.

Birim 42 araştırmacıları, “Trigona’nın bir hedefin ortamına ilk erişimi elde etme, keşif yürütme, uzaktan izleme ve yönetim (RMM) yazılımı aracılığıyla kötü amaçlı yazılım aktarma, yeni kullanıcı hesapları oluşturma ve fidye yazılımı dağıtma gibi davranışlarda bulunan tehdit operatörü.”

ABD, Avustralya, Yeni Zelanda, İtalya, Fransa ve Almanya’daki şirketler etkilendi.

Trigona Fidye Yazılımının Özellikleri

Son analizden araştırmacılar, benzersiz bilgisayar kimliklerinin (CID’ler) ve kurban kimliklerinin, tipik metin dosyası (VID) yerine gömülü JavaScript içeren bir HTML uygulaması aracılığıyla sunulan Trigona’nın fidye notlarına dahil edildiğini söylüyor.

DÖRT

Resim 1, bir işletmeye ağının şifreli olduğunu, veri kurtarma için üç adımlık talimatları ve fiyatı daha ucuz hale getirmeye yönelik ipuçlarını anlatan örnek bir Trigona fidye notunun ekran görüntüsüdür.  Ayrıca bir
Örnek Trigona fidye notu

Fidye notunun JavaScript’i aşağıdaki ayrıntıları içerir:

  • Benzersiz bir şekilde oluşturulmuş bir CID ve VID
  • Pazarlık Tor portalına bir bağlantı
  • İletişim için bir e-posta adresi.

Uzmanlara göre, Aralık 2022’de ele geçirilen en az 15 olası kurban bulunabilir. Ayrıca Ocak 2023 ve Şubat 2023’te iki yeni Trigona fidye notu keşfettiler.

İlk keşfedildiğinde Trigona’nın bir sızıntı sitesini çifte gasp için kullandığına dair hiçbir kanıt yoktu. Kurbanlar bunun yerine pazarlık portallarına fidye mesajıyla gönderildi. Bir araştırmacı, belirli bir IP adresinde barındırılan Trigona’ya atfedilebilen bir sızıntı sitesi belirledi.

Resim 3, Trigona sızıntı sitesinin ekran görüntüsüdür.  Mevcut sızıntıları, sızıntının aktif olup olmadığını ve ne kadar süre kaldığını gösteren bir sayacı detaylandırır.  Fidye miktarlarının yanı sıra ekran görüntüleri de dahil olmak üzere ayrıntılar mevcuttur.  Teklif vermek için yeşil bir düğme var.
Trigona sızıntı sitesi

Ek olarak, Trigona operatörleri ve CryLock fidye yazılımı operatörleri tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) örtüşüyor, bu da daha önce CryLock fidye yazılımı kullanan tehdit aktörlerinin Trigona fidye yazılımı kullanmaya geçmiş olabileceğini gösteriyor.

Resim 5, Rusya'daki kötü amaçlı yazılımdan koruma forumu SafeZone'un bir ekran görüntüsüdür ve burada birisi Crylock ile ilgili yardım ister.  Kırmızı ile vurgulanan bir e-posta adresidir.
Bir Rus kötü amaçlı yazılım önleme forumu olan SafeZone’da Crylock fidye yazılımı için yardım arayan bir kullanıcı

Her iki fidye yazılımı ailesi de HTML Uygulama biçiminde fidye notları bırakır ve fidye mesajı benzerdir, örneğin:

  • Tüm “belgelerin, veritabanlarının, yedeklemelerin ve diğer kritik” dosyaların ve verilerin şifrelenmiş olduğu iddiası
  • AES, kriptografik algoritma seçimidir
  • “Fiyat, bizimle ne kadar erken iletişime geçeceğinize bağlıdır” ifadeleri.

Bu nedenle, savunucular, Trigona’yı ve onun parola korumalı yürütülebilir dosyaları kullanarak kötü amaçlı yazılımları gizlemeye yönelik alışılmadık yöntemini ortaya çıkararak, kuruluşlarını bu tehdide karşı daha iyi savunabilir.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin

İlgili Okuma



Source link