La amenaza Trigona (ransomware), que apareció en el panorama de amenazas a fines de octubre de 2022, ahora se dirige cada vez más a las víctimas en todo el mundo. El desarrollo activo alcanzó su punto máximo de operación en diciembre de 2022 y sus operadores aún lo están perfeccionando.
Objetivos en todo el mundo
Los investigadores de Palo Alto encontraron dos notas de rescate Trigona nuevas, una en enero y dos en febrero.
- Estas notas se presentaron en una aplicación HTML con JavaScript incorporado que contenía identificaciones de computadora (CID) generadas de manera única e identificaciones de víctimas, un enlace al portal de negociación Tor y una dirección de correo electrónico para contactar.
- Durante diciembre de 2022, comprometió al menos a 15 organizaciones potenciales en varios sectores, incluidas las industrias de fabricación, finanzas, construcción, agricultura, marketing y alta tecnología.
- Las empresas víctimas estaban ubicadas principalmente en EE. UU., Italia, Francia, Alemania, Australia y Nueva Zelanda.
Herramientas y técnicas
- Los operadores de Trigona obtienen acceso inicial y realizan un reconocimiento utilizando NetScan.
- Transfieren malware a través de un software de administración y monitoreo remoto llamado Splashtop.
- El malware contiene una secuencia de comandos que elimina la evidencia del ataque a un sistema, otra secuencia de comandos que crea nuevas cuentas con privilegios de usuario y un archivo ejecutable que ejecuta Mimikatz para extraer información confidencial de un sistema operativo Windows.
- Otros scripts generan y ejecutan un archivo por lotes incrustado, instalan la herramienta disponible públicamente Advanced Port Scanner para el movimiento lateral y el descubrimiento, e implementan ransomware.
- El binario ransomware usa TDCP_rijndael para cifrar archivos al ejecutarse. Admite varios argumentos de línea de comandos. Agrega la extensión de archivo ._locked, modifica las claves de registro para mantener la persistencia y suelta notas de rescate.
Descubrimientos adicionales de esta amenaza
- Los operadores de Trigona están publicando publicaciones casi duplicadas de otras familias de malware como BlackCat (ALPHV) en su sitio de fugas para presionar y extorsionar a las víctimas con esta amenaza.
- Trigona y CryLock tienen un cifrado AES similar y frases similares en sus notas de rescate, y ambos dejan notas de rescate basadas en HTML. La superposición de TTP sugiere que los mismos operadores están detrás de ambas familias de ransomware.
Conclusión
Trigona tiene un alcance objetivo global y está experimentando con sus TTP para expandir esta amenaza más. Si bien sus notas de rescate afirman que roban datos durante los ataques, no amenazan a la víctima con filtrar los datos. Además, el sitio de fugas solo publica datos copiados hasta el momento, los expertos cibernéticos sugieren que podría ser una fase de prueba de la funcionalidad de fugas antes de mover el sitio a la web oscura.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.