Les attaquants piratent des serveurs Microsoft SQL (MS-SQL) mal sécurisés et exposés à Interned pour déployer les charges utiles du rançongiciel Trigona et chiffrer tous les fichiers.
Les serveurs MS-SQL sont piratés via des attaques par force brute ou par dictionnaire qui tirent parti des informations d’identification de compte faciles à deviner.
Après s’être connectés à un serveur, les acteurs de la menace déploient un logiciel malveillant surnommé CLR Shell par les chercheurs en sécurité de la société sud-coréenne de cybersécurité AhnLab qui a repéré les attaques.
Ce malware est utilisé pour collecter des informations système, modifier la configuration du compte compromis et élever les privilèges à LocalSystem en exploitant une vulnérabilité dans le service de connexion secondaire Windows (qui sera nécessaire pour lancer le ransomware en tant que service).
« CLR Shell est un type de malware d’assemblage CLR qui reçoit des commandes d’acteurs malveillants et exécute des comportements malveillants, de la même manière que les WebShells des serveurs Web », explique AhnLab.
Dans l’étape suivante, les attaquants installent et lancent un malware dropper en tant que service svcservice.exe, qu’ils utilisent pour lancer le ransomware Trigona en tant que svchost.exe.
Ils configurent également le binaire du ransomware pour qu’il se lance automatiquement à chaque redémarrage du système via une clé d’exécution automatique Windows afin de garantir que les systèmes seront chiffrés même après un redémarrage.
Avant de chiffrer le système et de déployer des notes de rançon, le logiciel malveillant désactive la récupération du système et supprime toutes les copies fantômes de volumes Windows, rendant la récupération impossible sans la clé de déchiffrement.
Repéré pour la première fois en octobre 2022 par MalwareHunterTeam et analysé par Breachtrace, l’opération de ransomware Trigona est connue pour n’accepter que les paiements de rançon en crypto-monnaie Monero de la part de victimes du monde entier.
Trigona crypte tous les fichiers sur les appareils des victimes, à l’exception de ceux qui se trouvent dans des dossiers spécifiques, y compris les répertoires Windows et Program Files. Avant le cryptage, le gang prétend également voler des documents sensibles qui seront ajoutés à son site de fuite sur le Web sombre.
De plus, le ransomware renomme les fichiers cryptés en ajoutant l’extension ._locked et intègre la clé de décryptage cryptée, l’ID de campagne et l’ID de la victime (nom de l’entreprise) dans chaque fichier verrouillé.
Il crée également des notes de rançon nommées « how_to_decrypt.hta » dans chaque dossier avec des informations sur l’attaque, un lien vers le site Web de négociation Trigona Tor et un lien contenant la clé d’autorisation nécessaire pour se connecter au site de négociation.
Le gang de ransomware Trigona a été à l’origine d’un flux constant d’attaques, avec au moins 190 soumissions à la plate-forme ID Ransomware depuis le début de l’année.
