最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Trigona勒索软件被发现在全球范围内不断增加的攻击

网络安全 快米云 来源:快米云 134浏览

特里戈纳

一个以前未命名的勒索软件已更名为“Trigona”,推出了一个新的 Tor 谈判网站,他们在该网站上接受 Monero 作为赎金付款。

Trigona 已经活跃了一段时间,并在今年年初看到了样本。然而,这些样本使用电子邮件进行谈判,并没有使用特定名称。

正如MalwareHunterTeam 所发现的那样,从 2022 年 10 月下旬开始,勒索软件行动启动了一个新的 Tor 谈判网站,他们在该网站上正式将自己命名为“Trigona”。

由于 Trigona 是大型无刺蜜蜂家族的名称,勒索软件操作采用了一个标志,显示一个人穿着类似网络蜜蜂的服装,如下所示。

Trigona 勒索软件行动的标志
Trigona 勒索软件行动的标志
图源:news.zzqidc.com

news.zzqidc.com了解到新勒索软件行动的众多受害者,包括一家房地产公司和一个看似德国的村庄。

Trigona 勒索软件

news.zzqidc.com分析了最近的 Trigona 样本,发现它支持各种命令行参数,这些参数可以确定本地文件或网络文件是否加密,是否添加了 Windows 自动运行密钥,以及是否应使用测试受害者 ID (VID) 或活动 ID (CID)用过的。

下面列出了命令行参数:

/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only

加密文件时,Trigona 将加密设备上的所有文件,但特定文件夹中的文件除外,例如 Windows 和 Program Files 文件夹。此外,勒索软件会将加密文件重命名为使用 ._locked 扩展名。

例如,文件 1.doc 将被加密并重命名为 1.doc._locked,如下所示。

Trigona 加密的文件
Trigona 加密的文件
来源:news.zzqidc.com

勒索软件还会在加密文件中嵌入加密的解密密钥、活动 ID 和受害者 ID(公司名称)。

带有文件标记的加密文件
带有文件标记的加密文件
来源:news.zzqidc.com

将在每个扫描的文件夹中创建一个名为 how_to_decrypt.hta的赎金票据。此注释显示有关攻击的信息、指向 Tor 协商站点的链接以及将授权密钥复制到登录 Tor 协商站点所需的 Windows 剪贴板的链接。

Trigona 赎金记录
Trigona 赎金票据
来源:news.zzqidc.com

登录 Tor 网站后,受害者将看到有关如何购买 Monero 以支付赎金的信息,以及他们可以用来与威胁行为者进行谈判的支持聊天。该站点还提供免费解密五个文件的功能,每个文件最大 5MB。

news.zzqidc.com没有看到任何积极的谈判,也不知道威胁者向受害者索要多少钱。

Trigona Tor 协商站点
Trigona Tor 谈判现场
图源:news.zzqidc.com

支付赎金后,受害者将收到解密器链接和包含解密私钥的 keys.dat 文件。

解密器允许您解密本地设备和网络共享上的单个文件或文件夹。

扫描和解密 Trigona 解密器的屏幕
扫描并解密 Trigona 解密器的屏幕
来源:news.zzqidc.com

目前尚不清楚该行动如何破坏网络或部署勒索软件。此外,虽然他们的赎金票据声称他们在攻击期间窃取了数据,但尚未看到任何证据。

然而,他们的攻击在全球范围内一直在增加,并且随着对专用 Tor 平台的投资,他们可能会继续扩大业务。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Trigona勒索软件被发现在全球范围内不断增加的攻击