Máy chủ Microsoft SQL bị tấn công để triển khai phần mềm tống tiền Trigona

Những kẻ tấn công đang xâm nhập vào các máy chủ Microsoft SQL (MS-SQL) được bảo mật kém và tiếp xúc với Internet để triển khai tải trọng phần mềm tống tiền Trigona và mã hóa tất cả các tệp.

Các máy chủ MS-SQL đang bị xâm phạm thông qua các cuộc tấn công từ điển hoặc vũ phu nhằm lợi dụng thông tin xác thực tài khoản dễ đoán.

Sau khi kết nối với máy chủ, những kẻ đe dọa triển khai phần mềm độc hại có tên là CLR Shell do các nhà nghiên cứu bảo mật từ công ty an ninh mạng AhnLab của Hàn Quốc, người đã phát hiện ra các cuộc tấn công, đặt tên là CLR Shell.

Phần mềm độc hại này được sử dụng để thu thập thông tin hệ thống, thay đổi cấu hình của tài khoản bị xâm nhập và nâng cấp đặc quyền cho Hệ thống cục bộ bằng cách khai thác lỗ hổng trong Dịch vụ đăng nhập phụ của Windows (sẽ được yêu cầu để khởi chạy phần mềm tống tiền dưới dạng dịch vụ).

"CLR Shell là một loại phần mềm độc hại lắp ráp CLR nhận lệnh từ các tác nhân đe dọa và thực hiện các hành vi nguy hiểm, tương tự như WebShell của máy chủ web," AhnLab cho biết .

Trong giai đoạn tiếp theo, những kẻ tấn công cài đặt và khởi chạy phần mềm độc hại nhỏ giọt dưới dạng dịch vụ svcservice.exe mà chúng sử dụng để khởi chạy phần mềm tống tiền Trigona dưới dạng svchost.exe.

Họ cũng định cấu hình nhị phân ransomware để tự động khởi chạy trên mỗi lần khởi động lại hệ thống thông qua khóa tự động chạy của Windows để đảm bảo hệ thống sẽ được mã hóa ngay cả sau khi khởi động lại.

Trước khi mã hóa hệ thống và triển khai ghi chú đòi tiền chuộc, phần mềm độc hại sẽ vô hiệu hóa khôi phục hệ thống và xóa mọi bản sao Windows Volume Shadow, khiến việc khôi phục không thể thực hiện được nếu không có khóa giải mã.

Ghi chú tiền chuộc Trigona

Được phát hiện lần đầu tiên vào tháng 10 năm 2022 bởi  MalwareHunterTeam  và  được BleepingComputer phân tích , hoạt động của phần mềm tống tiền Trigona được biết là chỉ chấp nhận các khoản thanh toán tiền chuộc bằng tiền điện tử Monero từ các nạn nhân trên toàn thế giới.

Trigona mã hóa tất cả các tệp trên thiết bị của nạn nhân ngoại trừ những tệp trong các thư mục cụ thể, bao gồm các thư mục Windows và Tệp chương trình. Trước khi mã hóa, băng nhóm này cũng tuyên bố đánh cắp các tài liệu nhạy cảm sẽ được thêm vào trang web rò rỉ dark web của mình.

Ngoài ra, ransomware đổi tên các tệp được mã hóa bằng cách thêm phần mở rộng ._locked và nhúng khóa giải mã được mã hóa, ID chiến dịch và ID nạn nhân (tên công ty) vào mọi tệp bị khóa.

Nó cũng tạo các ghi chú đòi tiền chuộc có tên "how_to_decrypt.hta" trong mỗi thư mục có thông tin về cuộc tấn công, một liên kết đến trang web đàm phán Trigona Tor và một liên kết chứa khóa ủy quyền cần thiết để đăng nhập vào trang web đàm phán.

Nhóm ransomware Trigona đã đứng đằng sau một loạt các cuộc tấn công liên tục, với ít nhất 190 lần gửi tới nền tảng ID Ransomware kể từ đầu năm.

Gửi mẫu Trigona

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.