Um grupo de ciberativistas sob a bandeira da Aliança Cibernética Ucraniana atacou os servidores do grupo de ransomware Trigona e os limpou após copiar todas as informações disponíveis.
Os combatentes da Aliança Cibernética Ucraniana afirmam que exfiltraram todos os dados dos sistemas do ator de ameaças, incluindo código-fonte e registros de banco de dados, que podem incluir chaves de descriptografia.
Os hackers da Aliança Cibernética Ucraniana obtiveram acesso à infraestrutura do ransomware Trigona usando um exploit público para a
CVE-2023-22515
, uma vulnerabilidade crítica no Confluence Data Center e Server que pode ser usada remotamente para escalar privilégios.
A vulnerabilidade foi usada em ataques como zero-day desde 14 de setembro por pelo menos um grupo de ameaças que a Microsoft identifica como Storm-0062 (também conhecido como DarkShadow e Oro0lxy).
A Aliança Cibernética Ucraniana, ou UCA para abreviar, invadiu o servidor Confluence de Trigona há cerca de seis dias, estabeleceu persistência, e mapeou toda a infraestrutura do cibercriminoso sem ser notada.
Depois que um ativista da UCA usando o apelido herm1t publicou capturas de tela dos documentos internos de suporte da gangue de ransomware, foi informado de que o ransomware Trigona inicialmente entrou em pânico e respondeu mudando a senha e derrubando sua infraestrutura pública.
No entanto, ao longo da próxima semana, os ativistas conseguiram recolher todas as informações do administrador do ator de ameaças e os painéis de vítimas, o blog e o site de vazamento de dados, e suas ferramentas internas (Rocket.Chat, Jira e servidores Confluence).
Eles também exfiltraram o ambiente do desenvolvedor, carteiras quentes de criptomoedas, bem como o código-fonte e registros do banco de dados.
Os ativistas não sabem se as informações que transferiram contêm alguma chave de descriptografia, mas disseram que as liberariam se as encontrassem.
Após colher todos os dados disponíveis da gangue de ransomware, os ativistas da UCA deletaram e defiguram seus sites, compartilhando também a chave para o site do painel de administração.
A UCA afirma que foi possível recuperar três backups contendo centenas de gigabytes de documentos provavelmente roubados.
A partir de 2014, vários hacktivistas na Ucrânia e em todo o mundo começaram a trabalhar juntos para defender o espaço cibernético do país contra a agressão russa.
Cerca de dois anos depois, hackers individuais e vários grupos de hackers se uniram para formar a Aliança Cibernética Ucraniana, agora registrada como uma organização não governamental, e começaram a atingir várias organizações e indivíduos que apoiavam as atividades da Rússia contra a Ucrânia.
As identidades dos membros do grupo são segredos, exceto para aqueles que o estabeleceram como uma entidade oficial cujo trabalho é regido pelo dever cívico para o país.
De acordo com a página da organização na Wikipedia, seus membros realizaram várias operações de hacking bem-sucedidas que resultaram em exposição de informações sobre atividade russa e esforços de propaganda na Ucrânia e em outros países, bem como seu controle sobre vários indivíduos e entidades.
Entre as alegações da UCA estão hacking o Ministério da Defesa russo duas vezes em 2016 e vazando contratos públicos de defesa e dados confidenciais sobre a provisão da ordem de defesa do estado de 2015 a 2016.
Outro sucesso foi invadir os e-mails de Vladislav Surkov, uma pessoa que se acredita ter projetado a máquina de propaganda russa nos últimos anos, onde discutiu a anexação da Crimeia e como financiar os territórios de Luhansk e Donetsk quando eles se tornaram repúblicas russas.
A operação de ransomware Trigona emergiu com este nome em outubro do ano passado, quando a gangue lançou um site Tor para negociar pagamentos de resgate na criptomoeda Monero com vítimas de seus ataques.
Anteriormente, as amostras do malware não tinham um nome específico e foram observadas no campo desde o início de 2022.
Antes da marca Trigona, os operadores usavam e-mail para negociar os pagamentos de resgate.
Por um tempo, os criminosos cibernéticos se mostraram suficientemente ativos para comprometer em um mês ao menos 15 empresas dos setores de manufatura, finanças, construção, agricultura, marketing e alta tecnologia.
No início deste ano, os hackers da Trigona estavam visando servidores Microsoft SQL expostos na internet pública, usando ataques de força bruta ou dicionário para obter credenciais de acesso.
No momento, devido às recentes ações da Aliança Cibernética Ucraniana, nenhum dos websites públicos e serviços de ransomware da Trigona estão online.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...