user

Авторизация

Добро пожаловать!

Регистрация

Undefined666

IT безопасность

Обзор различных версий программы-вымогателя Trigona

Программа-вымогатель Trigona — это относительно новое семейство программ-вымогателей , которое начало свою деятельность примерно в конце октября 2022 года, хотя его образцы существовали еще в июне 2022 года. С тех пор операторы Trigona остаются очень активными и фактически постоянно обновляют свои двоичные файлы программ-вымогателей. К апрелю 2023 года Trigona начала атаковать скомпрометированные серверы MSSQL, похищая учетные данные с помощью методов грубой силы. В мае 2023 года мы нашли версию Trigona для Linux, которая имеет сходство со своим аналогом для Windows.

Угрозы, стоящие за Trigona, предположительно являются той же группой, что и программа-вымогатель CryLock, из-за сходства в инструментах, тактике и процедурах (TTP). Он также был связан с группой ALPHV (известной также как BlackCat ), хотя мы считаем, что любое сходство между программами-вымогателями Trigona и BlackCat в лучшем случае является лишь косвенным (одна из возможностей состоит в том, что ALPHV сотрудничал с злоумышленниками, развертывающими Trigona, но на самом деле не был причастен к этому). с его разработкой и эксплуатацией).

Целевые страны и отрасли

Согласно данным Trend Micro™ Smart Protection Network™, США и Индия были странами с наибольшим количеством обнаружений программ-вымогателей Trigona, а Израиль, Турция, Бразилия и Италия также имели значительное количество таких случаев.

Между тем, атаки были сосредоточены в основном на отраслях технологий и здравоохранения, где было обнаружено наибольшее количество атак.

Обнаружения программ-вымогателей Trigona в зависимости от страны
Обнаружения программ-вымогателей Trigona в зависимости от отрасли

Цепочка заражения

Цепочка заражения программой-вымогателем Trigona (на основе анализа Trigona, проведенного Пало-Альто)

Было обнаружено, что Trigona использует уязвимость ManageEngine CVE-2021-40539 для первоначального доступа на основании отчета Arete . Кроме того, злоумышленники использовали ранее скомпрометированные учетные записи, получив доступ от брокеров доступа к сети.

Он использует множество инструментов для бокового перемещения, в том числе Splashtop (легитимный инструмент удаленного доступа), который используется для установки дополнительных дополнительных инструментов на скомпрометированную машину.

Trigona сбрасывает файл с именем turnoff.bat (обнаружен как Trojan.BAT.TASKILL.AE) для прекращения работы служб и процессов, связанных с антивирусом. Он также использует сетевой сканер и расширенный сканер портов для идентификации сетевых подключений.

Согласно анализу AhnLab , операторы Trigona используют оболочку CLR при атаках на серверы MS-SQL. Этот инструмент поддерживает несколько команд, в том числе команду, которая удаляет дополнительные исполняемые файлы для повышения привилегий ( nt.exe ).

Цепочка заражения скомпрометированного SQL-сервера (на основе анализа AhnLab)

Trigona шифрует файлы на зараженных машинах, используя шифрование AES. Кроме того, программа-вымогатель содержит зашифрованную конфигурацию в своем разделе ресурсов, которая расшифровывается при выполнении. Однако он будет использовать только определенные строки в своей конфигурации. Trigona также рандомизирует имена зашифрованных файлов и добавляет расширение ._locked при шифровании.

Операторы Trigona используют дампер учетных данных Mimikatz для сбора паролей и учетных данных, найденных на компьютерах жертв.

Linux-версия

В мае 2023 года наша команда по поиску угроз обнаружила двоичный файл программы-вымогателя для Linux, который имел небольшое количество обнаружений. После дальнейшей проверки мы подтвердили, что эти двоичные файлы являются версией Trigona для Linux. Как и его 32-разрядный аналог для Windows, этот двоичный файл принимает для выполнения аргументы командной строки.

Фрагмент кода, показывающий аргументы командной строки из Linux-версии Trigona

Записка о выкупе, сброшенная двоичным файлом ( how_to_decrypt.txt ), содержит только адрес электронной почты злоумышленника, стоящего за атакой. Это может указывать на то, что версия для Linux все еще находится в стадии разработки.

Записка с требованием выкупа, выпадающая из версии Trigona для Linux.

64-разрядная версия Windows

В июне 2023 года мы столкнулись с новой версией программы-вымогателя Trigona, на этот раз предназначенной для 64-разрядных платформ Windows. В этой версии реализованы дополнительные аргументы командной строки, которых не было в версии для Linux и исходной 32-разрядной версии (например, /sleep и /debug ). 

 Фрагмент, показывающий аргументы командной строки из 64-разрядной версии Trigona для Windows.

Аргументы командной строки

В таблице приведены аргументы командной строки, используемые каждой из различных версий Trigona:

32-битная Windows64-битная WindowsLinuxОписание
/r/r Позволяет шифровать файлы в случайном порядке
/full/full/fullЗашифровать все содержимое целевого файла (если он не используется, шифруются только первые 0x80000 байт/512 КБ)
/erase/erase/eraseУдаляет содержимое целевых файлов. (По умолчанию стираются только первые 512 КБ, если не используется аргумент /full)
/!autorun/!autorun Не создает запись реестра автозапуска.
/is_testing/is_testing/is_testingИспользуется с /test_cid и /test_vid в целях тестирования.
/test_cid/test_cid/test_cidИспользует указанный идентификатор компьютера вместо его создания
/test_vid/test_vid/test_vidИспользует указанный идентификатор жертвы вместо того, который указан в настройках
/p/p/pУказывает путь для шифрования
/path/path/pathУказывает путь для шифрования
/!local/!local Избегает шифрования локальных файлов
/!lan/!lan Избегает шифрования сетевых ресурсов
/shdwn/shdwn/shutdownПринудительное отключение машины после шифрования
/autorun_only/autorun_only Создает реестр автозапуска, который запускает программу-вымогатель при входе в систему. Это еще не будет выполнять шифрование.
 /sleep Спит в течение n секунд перед выполнением
 /debug Выполняется в режиме отладки, необходимо выполнить с параметром /p
 /log_f указывает файл журнала для ведения журнала
 /fast  
 /allow_system Позволяет шифровать файлы в системном каталоге

Шифрование

Все версии Trigona используют  TDCP_rijndael (AES) для шифрования целевых файлов в зависимости от настроек, установленных в разделе ресурсов. 

Версия Trigona для Linux, использующая AES для шифрования

Зашифрованные файлы либо переименовываются с помощью зашифрованных строк, либо с добавлением дополнительной строки available_for_trial , а затем добавляется расширение ._locked . 

Файлы, зашифрованные Trigona

Чтобы заставить жертв заплатить выкуп, сайт утечки Trigona содержит таймер обратного отсчета и варианты ставок для сторон, заинтересованных в получении доступа к утечке данных. Злоумышленники предоставляют каждой жертве ключ авторизации, который они могут использовать для регистрации на портале переговоров, предоставленном Trigona.

Обновление сайта утечки Trigona

Группа вымогателей Trigona использует схему двойного вымогательства. В дополнение к основному сайту утечки, на котором отображается список компаний-жертв, операторы Trigona также используют сайт Tor, где жертвы могут общаться с группой злоумышленников, чтобы договориться об инструменте дешифрования. Интересно, что они также отмечают тех жертв, которые уже заплатили.

Отчет из Пало-Альто выявил IP-адрес, на котором размещен сайт утечки под названием «Trigona Leaks» и использующий порт 8000. Кроме того, был обнаружен еще один IP-адрес под названием «Leaks», который также использовал порт 8000 и имел тот же диапазон IP-адресов, что и ранее упомянутый IP-адрес, связанный с сайтом утечки.

В ходе нашего расследования мы обнаружили еще один IP-адрес 3 июня, который все еще был активен на момент написания статьи. Этот IP-адрес, который использует порт 3000 и заголовок Blog , находится в диапазоне IP-адресов предыдущих адресов. Мы предполагаем, что злоумышленник перемещает часть своей инфраструктуры, когда раскрывается их IP-адрес. Используя этот третий сайт утечки, мы смогли найти их хранилище файлов (aeey7hxzgl6zowiwhteo5xjbf6sb36tkbn5hptykgmbsjrbiygv4c4id[.]onion). На этом сайте хранятся важные данные, украденные у жертв, такие как документы, контракты и другие большие объемы данных.

У группы вымогателей Trigona плохая операционная безопасность, когда дело доходит до реализации сайтов Tor, хотя их цель — атаковать плохо управляемые SQL-серверы — это не то, что мы обычно наблюдаем у менее технически подкованных злоумышленников. Наш обзор программ-вымогателей на TargetCompany показывает другую группу, использующую аналогичную технику нацеливания на SQL-серверы.

Место основной утечки Trigona
Место утечки Trigona, обнаруженное с помощью Shodan 3 июня 2023 г.
Сайт хранилища файлов Tor компании Trigona с названием «тест»

Заключение и рекомендации

Программа-вымогатель Trigona в настоящее время занимает относительно мало внимания по сравнению с более распространенными семействами, что позволяет ему действовать скрытно. Тем не менее, из-за его непрерывной эволюции и повышенной активности, мы ожидаем, что Trigona получит известность в ближайшем будущем. Кроме того, он присоединяется к растущему списку групп программ-вымогателей, которые разработали версию для Linux , чтобы попытаться извлечь выгоду из растущего ценного рынка Linux, добавляя доказательства того, что операторы Trigona пытаются максимально расширить свое присутствие. Поэтому для отдельных лиц и организаций крайне важно ознакомиться с этой программой-вымогателем, чтобы предотвратить возможный вред.

Для защиты систем от атак программ-вымогателей организациям рекомендуется принимать эффективные меры. К ним относятся внедрение протоколов защиты данных и установление процедур резервного копирования и восстановления, чтобы гарантировать, что данные остаются в безопасности и могут быть восстановлены в случае шифрования или даже удаления. Регулярная оценка уязвимостей и своевременное исправление систем могут значительно снизить воздействие программ-вымогателей, использующих уязвимости.

Мы рекомендуем следующие меры безопасности:

  1. Включите многофакторную аутентификацию (MFA), чтобы помешать злоумышленникам перемещаться по сети и получать доступ к конфиденциальной информации.
  2. Следуйте правилу 3-2-1 при создании резервных копий важных файлов. Это включает в себя создание трех резервных копий, хранящихся в файлах двух разных форматов, причем одна копия хранится в другом месте. Это обеспечивает избыточность и сводит к минимуму риск потери данных.
  3. Регулярно обновляйте и исправляйте системы. Важно поддерживать приложения и операционные системы в актуальном состоянии и устанавливать надежные протоколы управления исправлениями, чтобы предотвратить использование злоумышленниками уязвимостей программного обеспечения.