Atacantes están pirateando servidores Microsoft SQL (MS-SQL) mal protegidos y expuestos a Interned para desplegar cargas útiles del ransomware Trigona y cifrar todos los archivos.
Los servidores MS-SQL se piratean mediante ataques de fuerza bruta o de diccionario que aprovechan credenciales de cuenta fáciles de adivinar.
Tras conectarse a un servidor, los autores de la amenaza despliegan el malware denominado CLR Shell por los investigadores de seguridad de la empresa surcoreana de ciberseguridad AhnLab que detectaron los ataques.
Este malware se utiliza para recopilar información del sistema, alterar la configuración de la cuenta comprometida y escalar privilegios a LocalSystem aprovechando una vulnerabilidad en el Servicio de Inicio de Sesión Secundario de Windows (que será necesario para lanzar el ransomware como servicio).
En la siguiente etapa, los atacantes instalan y lanzan un malware dropper como el servicio svcservice.exe, que utilizan para lanzar el ransomware Trigona como svchost.exe.
También configuran el binario del ransomware para que se ejecute automáticamente cada vez que se reinicie el sistema a través de una clave de ejecución automática de Windows, con el fin de garantizar que los sistemas queden cifrados incluso después de un reinicio.
Antes de cifrar el sistema y desplegar las notas de rescate, el malware desactiva la recuperación del sistema y elimina cualquier copia de seguridad de volumen de Windows, haciendo imposible la recuperación sin la clave de descifrado.
Detectado por primera vez en octubre de 2022 por MalwareHunterTeam, el ransomware Trigona es conocido por aceptar únicamente el pago de rescates en criptomoneda Monero de víctimas de todo el mundo.
Trigona cifra todos los archivos de los dispositivos de las víctimas excepto los de carpetas específicas, incluidos los directorios de Windows y Archivos de programa. Antes del cifrado, la banda también afirma que roba documentos confidenciales que se añadirán a su sitio de filtraciones en la web oscura.
Además, el ransomware cambia el nombre de los archivos cifrados añadiendo la extensión ._locked e incrusta la clave de descifrado cifrada, el ID de la campaña y el ID de la víctima (nombre de la empresa) en cada archivo bloqueado.
También crea notas de rescate llamadas «how_to_decrypt.hta» en cada carpeta con información sobre el ataque, un enlace al sitio web de negociación Trigona Tor y un enlace que contiene la clave de autorización necesaria para iniciar sesión en el sitio de negociación.
La banda de ransomware Trigona ha estado detrás de un flujo constante de ataques, con al menos 190 envíos a la plataforma ID Ransomware desde principios de año.
Con información de Bleeping Computer.