This post is also available in: Português Español
Pesquisadores de segurança cibernética observaram que alguns ransomwares antigos e sem nome ressurgiram com o nome Trigona Ransomware, com várias melhorias em suas táticas de pagamento.
O malware está ativo desde o inicio de 2022, e seus operadores estavam usando e-mail para negociações de resgate no estagio inicial.
O MalwareHunterTeam identificou uma nova variante chamada de Trigona, vista pela primeira vez no final de outubro.
Update: the actors/gang named this ransomware as Trigona.
🤔 pic.twitter.com/TGZbSiKuHw— MalwareHunterTeam (@malwrhunterteam) November 28, 2022
A variante já gerou algumas vítimas, incluindo uma empresa imobiliária e um vilarejo na Alemanha.
Detalhes do Trigona Ransomware
Os pesquisadores do BleepingComputer analisaram uma amostra recente do Trigona ransomware e descobriram que ele suporta vários argumentos de linha de comando.
Esses comandos determinam se os arquivos são criptografados, se uma chave de execução automática do Windows é adicionada, ou se um ID de vítima ou ID de campanha precisa ser usado.
Durante a criptografia, o Trigona criptografará os arquivos do dispositivo, adicionando a extensão ._locked a todos que forem criptografados.
Exemplo de arquivos criptografados pelo Trigona. Fonte: BleepingComputer.
Ele incorporará a chave de descriptografia, ID da campanha e ID da vítima (nome da empresa) nos arquivos criptografados.
Arquivo criptografado com marcadores de arquivo. Fonte: BleepingComputer.
Ele cria uma nota de resgate chamada how_to_decrypt.hta em todas as pastas, que exibe informações sobre o ataque e um link para o site onde a vítima deve negociar o resgate.
Além disso, a nota mostra um link que copia uma chave de autorização na área de transferência do Windows, necessária para fazer login no referido site.
A negociação
Após a vítima fazer login no site para negociação do resgate, são apresentadas as informações sobre como comprar o Monero para pagar o resgate. O site também conta com um chat de suporte, que pode ser usado para negociar com os cibercriminosos.
Através do site, também é possível descriptografar cinco arquivos, de até 5 MB cada, gratuitamente, uma forma de credibilizar o pagamento pelo resgate.
Depois de efetuar o pagamento, a vítima recebe um link para um descriptografador e um arquivo Keys.dat, que incorpora a chave de descriptografia pessoal da vítima.
Fonte: BleepingComputer.
Especialistas alertam para a possibilidade do aumento no número de vítimas do novo ransomware.
Embora os especialistas não tenham visto nenhuma negociação ativa e atividades de roubo de dados pelo ransomware em seu site Tor, o investimento em uma plataforma dedicada indica que provavelmente o grupo continuará expandindo suas operações.
Fonte: BleepingComputer.
This post is also available in: Português Español