Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Trigona’nın Sunucularındaki Veriler Sızdırıldı ve Silindi, Sızıntı Sitesinde Bir Not Okunuyor
Sayın Mihir (MihirBagwe) •
18 Ekim 2023
Ukrayna yanlısı bilgisayar korsanları, yakın zamanda kurulmuş ve Rus yeraltı siber suçlularıyla bağlantısı olabilecek bir grup olan Trigona fidye yazılımı çetesinin sunucularını silme sorumluluğunu üstlendi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Hacktivist bir kolektif olan Ukrayna Siber İttifakı Çarşamba günü tweet attı Çetenin tahrif edilmiş olduğu anlaşılan dark web sızıntı sitesinin ekran görüntüsünde şu mesaj yer alıyor: “Trigona gitti. Trigona fidye yazılımı çetesinin sunucuları sızdırıldı ve silindi. Başkaları için yarattığınız dünyaya hoş geldiniz. Ukrayna Siber İttifakı tarafından hacklendi. ” Trigona karanlık web sitelerinin Çarşamba öğleden sonra itibarıyla çevrimdışı olduğu ortaya çıktı.
Aynı mesaj hacktivist grubun Telegram kanalında da ortaya çıktı. Grup, Ukrayna’nın çeşitli şehirlerinden siber aktivistlerden oluşan bir topluluk olduğunu iddia ediyor. Inform Napalm, Ukrayna Siber İttifakının 2016 yılında ayrı hacktivist grupların birleşmesi yoluyla kurulduğunu söyledi.
Eskiden Twitter olarak bilinen X’te @vx_herm1t takma adıyla anılan bir hacktivist, Ukrayna Siber İttifakının bir üyesi olduğunu iddia ediyor. tweet dizisi söylediği şey Trigona yönetici paneli erişim URL’si ve oturum açma anahtarıydı. Kendini Facebook’ta Ukrayna Siber İttifakı’nın sözcüsü olarak tanımlayan “Sean Brian Townsend” isimli bir kişi, Rus fidye yazılımı korsanlarının saldırılarını hafife alarak benzer bir mesaj yayınladı. yetenekleri. Makine çevirisine göre Rusça olarak “Fidye yazılımı bilgisayar dünyasının çöpçüsüdür. Onlar zayıftır. ‘Korkunç Rus bilgisayar korsanları’ evet, evet” diye yazdı.
Kötü Amaçlı Yazılım Avcısı Ekibi, Trigona sızıntısının ve ödeme sitesinin tahrif edildiğini doğruladı ve söz konusu olay @vx_herm1t’den yalnızca birkaç gün sonra gerçekleşti tweet attı Trigona’nın Confluence sunucusuna sızma hakkında.
Trigona’nın fidye notları benzersizdir. Siber güvenlik firması Palo Alto Networks’ün Mart ayında yazdığına göre, bunlar olağan metin dosyası yerine, benzersiz bilgisayar kimlikleri ve kurban kimlikleri içeren gömülü JavaScript içeren bir HTML uygulamasıdır. HTML uygulama dosyasının adı how_to_decrypt.hta
.
Trigona fidye yazılımı, güvenlik araştırmacılarının öncelikle araştırdığı nispeten yeni bir türdür. benekli geçen ekim ayının sonlarında. Palo Alto, Trigona’nın Aralık ayında en az 15 potansiyel kurbanla oldukça aktif olduğunu belirledi. Etkilenen kuruluşlar çoğunlukla imalat, finans, inşaat, tarım, pazarlama ve ileri teknoloji sektörlerindendi.
AhnLab, Nisan ayında kötü yönetilen Microsoft SQL Server örneklerinde Trigona fidye yazılımını keşfetti. SentinelOne, suç grubunun mağdurları gasp etmeye zorlamak amacıyla agresif son tarihler kullandığını söyledi.
Siber güvenlik firması Arete, Şubat ayında Trigona’nın ilk erişim için ManageEngine CVE-2021-40539 güvenlik açığından yararlandığını söyledi. Bir Arete raporu, Trigona’yı, DarkSide ve BlackMatter’ın halefi olduğundan şüphelenilen ve eski REvil üyeleriyle bağları olan, Rusça konuşan bir suç grubu olan Alphv olarak da bilinen BlackCat ile ilişkilendiren kanıtlar buldu.
“Trigona, mağdurlarla açıkça e-posta ve sesli mesaj aracılığıyla kendilerini Alphv (BlackCat) ve Trigona olarak tanımlayarak iletişim kurdu.’ İkincisi, tehdit aktörü kurbanlarından birine fidye talebini ödemesi için baskı yaptığında, kurban Alphv’nin özel blog sayfasına bir Tor bağlantısı paylaştı.” diye yazdı Arete.
Arete, iki grubun aslında aynı olduğunu kanıtlamak için kanıtın yeterli olmadığı sonucuna vardı. Ayrıca Trigona ve BlackCat’in “farklı fidye yazılımları kullandığı, farklı güvenlik açıklarından yararlandığı ve farklı iletişim taktikleri gösterdiği” de belirtildi.
TrendMicro da Haziran ayında iki grup arasındaki örtüşmelerin “en iyi ihtimalle sadece ikinci dereceden” olduğunu yazarak benzer bir sonuca vardı. Olasılıklardan biri, BlackCat’in Trigona bilgisayar korsanlarıyla işbirliği yapmış olması ancak aslında yeni fidye yazılımı grubunun geliştirilmesi ve işletilmesinde yer almamış olmasıdır.