Os atacantes estão invadindo servidores Microsoft SQL (MS-SQL) mal protegidos e expostos na Internet para implantar payloads do ransomware Trigona e criptografar todos os arquivos.
Os servidores MS-SQL estão sendo invadidos por meio de ataques de força bruta ou ataques de dicionário que se aproveitam de credenciais de conta fáceis de adivinhar.
Após conectar-se a um servidor, os atores da ameaça implantam malware chamado CLR Shell por pesquisadores de segurança da empresa sul-coreana AhnLab, que detectaram os ataques.
Esse malware é usado para coletar informações do sistema, alterar a configuração da conta comprometida e escalar privilégios para o LocalSystem, explorando uma vulnerabilidade no Windows Secondary Logon Service (que será necessário para lançar o ransomware como um serviço).
"CLR Shell é um tipo de malware de montagem CLR que recebe comandos de atores de ameaças e realiza comportamentos maliciosos, de forma semelhante aos WebShells de servidores web", diz a AhnLab.
Na próxima etapa, os atacantes instalam e lançam um malware de dropper como o serviço svcservice.exe, que é usado para lançar o ransomware Trigona como svchost.exe.
Eles também configuram o binário do ransomware para ser lançado automaticamente em cada reinicialização do sistema por meio de uma chave de autorun do Windows para garantir que os sistemas sejam criptografados mesmo após uma reinicialização.
Antes de criptografar o sistema e implantar notas de resgate, o malware desativa a recuperação do sistema e exclui quaisquer cópias de sombra do volume do Windows, tornando a recuperação impossível sem a chave de descriptografia.
Detectado pela primeira vez em outubro de 2022 pelo MalwareHunterTeam e analisado pelo BleepingComputer, a operação de ransomware Trigona é conhecida por aceitar apenas pagamentos de resgate em criptomoeda Monero de vítimas em todo o mundo.
O Trigona criptografa todos os arquivos nos dispositivos das vítimas, exceto aqueles em pastas específicas, incluindo os diretórios Windows e Program Files.
Antes da criptografia, a gangue também afirma roubar documentos sensíveis que serão adicionados ao seu site dark web de vazamentos.
Além disso, o ransomware renomeia arquivos criptografados adicionando a extensão ._locked e incorpora a chave de descriptografia criptografada, a ID da campanha e a ID da vítima (nome da empresa) em cada arquivo bloqueado.
Ele também cria notas de resgate com o nome "how_to_decrypt.hta" em cada pasta com informações sobre o ataque, um link para o site de negociação Tor Trigona e um link que contém a chave de autorização necessária para fazer login no site de negociação.
A gangue de ransomware Trigona está por trás de uma corrente constante de ataques, com pelo menos 190 envios à plataforma ID Ransomware desde o início do ano.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...