Saldırganlar, Trigona fidye yazılımı yüklerini dağıtmak ve tüm dosyaları şifrelemek için güvenliği zayıf ve Interned’e açık Microsoft SQL (MS-SQL) sunucularına giriyor.
MS-SQL sunucuları, tahmin edilmesi kolay hesap kimlik bilgilerinden yararlanan kaba kuvvet veya sözlük saldırıları yoluyla ihlal ediliyor.
Bir sunucuya bağlandıktan sonra tehdit aktörleri, saldırıları tespit eden Güney Koreli siber güvenlik firması AhnLab’ın güvenlik araştırmacıları tarafından CLR Shell adlı kötü amaçlı yazılımı dağıtır.
Bu kötü amaçlı yazılım, Windows İkincil Oturum Açma Hizmeti’ndeki (fidye yazılımının bir hizmet olarak başlatılması için gerekli olacak) bir güvenlik açığından yararlanarak sistem bilgilerini toplamak, güvenliği ihlal edilmiş hesabın yapılandırmasını değiştirmek ve ayrıcalıkları LocalSystem’e yükseltmek için kullanılır.
AhnLab, “CLR Shell, tehdit aktörlerinden komutlar alan ve web sunucularının WebShell’lerine benzer şekilde kötü amaçlı davranışlar gerçekleştiren bir tür CLR derleme kötü amaçlı yazılımıdır” diyor.
Bir sonraki aşamada, saldırganlar, Trigona fidye yazılımını svchost.exe olarak başlatmak için kullandıkları svcservice.exe hizmeti olarak bir damlalıklı kötü amaçlı yazılım yükler ve başlatır.
Ayrıca fidye yazılımı ikilisini, sistemlerin yeniden başlatma sonrasında bile şifrelenmesini sağlamak için bir Windows otomatik çalıştırma anahtarı aracılığıyla her sistem yeniden başlatıldığında otomatik olarak başlayacak şekilde yapılandırırlar.
Kötü amaçlı yazılım, sistemi şifrelemeden ve fidye notlarını dağıtmadan önce sistem kurtarmayı devre dışı bırakır ve tüm Windows Birim Gölge kopyalarını silerek şifre çözme anahtarı olmadan kurtarmayı imkansız hale getirir.
İlk olarak Ekim 2022’de tarafından görüldü Kötü Amaçlı Yazılım Avcısı Ekibi BleepingComputer tarafından analiz edilen ve analiz edilen Trigona fidye yazılımı operasyonu, dünya çapındaki kurbanlardan yalnızca Monero kripto para birimi cinsinden fidye ödemelerini kabul etmesiyle biliniyor.
Trigona, Windows ve Program Files dizinleri de dahil olmak üzere belirli klasörlerdekiler dışında kurbanların cihazlarındaki tüm dosyaları şifreler. Ekip, şifrelemeden önce, karanlık web sızıntı sitesine eklenecek hassas belgeleri de çaldığını iddia ediyor.
Ek olarak, fidye yazılımı ._locked uzantısını ekleyerek şifrelenmiş dosyaları yeniden adlandırır ve şifrelenmiş şifre çözme anahtarını, kampanya kimliğini ve kurban kimliğini (şirket adı) her kilitli dosyaya yerleştirir.
Ayrıca, her klasörde saldırı hakkında bilgi içeren “how_to_decrypt.hta” adlı fidye notları, Trigona Tor görüşme web sitesine bir bağlantı ve görüşme sitesinde oturum açmak için gereken yetkilendirme anahtarını içeren bir bağlantı oluşturur.
Trigona fidye yazılımı çetesi, yılın başından bu yana ID Ransomware platformuna en az 190 başvuru ile sürekli bir saldırı akışının arkasında yer alıyor.
