Ransomware
Trigona unter der Lupe
Trigona ist zwar relativ neu, hat aber innerhalb des einen Jahres der Aktivitäten verschiedene Techniken erfolgreich eingesetzt. Die Flexibilität der Akteure lässt darauf schließen, dass die Gruppe immer wieder unter neuem Namen aktiv werden könnte.
Save to Folio
Die Trigona-Ransomware tauchte im Oktober 2022 auf, und Trend Micro behielt sie zunächst als Water Ungaw im Visier. Die ersten Binärdateien der Ransomware wurden allerdings bereits im Juni letzten Jahres entdeckt. Die Gruppe gab an, ein lukratives Geschäft zu betreiben, globale Angriffe zu starten und für jeden erfolgreichen Angriff 20 bis 50 % der Einnahmen zu kassieren. Die Hintermänner kommunizierten Berichten zufolge auch mit Netzwerkzugangs-Brokern, die kompromittierte Zugangsdaten über die internen Chats des russischen Anonymous-Marktplatzes (RAMP) zur Verfügung stellten.
Die Gruppe steht mit CryLock in Verbindung und nutzt ähnliche Taktiken, Techniken und Prozeduren (TTPs), Dateinamen für die Lösegeldforderung sowie E-Mail-Adressen. Im April 2023 begann Trigona kompromittierte Microsoft SQL (MSSQL)-Server mit Brute Force zu attackieren. Einen Monat später entdeckten wir eine Linux-Version von Trigona, die Ähnlichkeiten mit ihrem Windows-Pendant aufwies.
Hintergrund
Die Ransomware steht auch mit BlackCat (auch bekannt als AlphaVM, AlphaV oder ALPHV) in Verbindung. Allerdings sind derzeit keine Gemeinsamkeiten zwischen den beiden Gruppen bekannt. Es ist möglich, dass BlackCat nur die Bedrohungsakteure, die Trigona bereitstellen, nutzt oder mit ihnen zusammenarbeitet.
Ein Bericht von Arete bestätigt, dass Trigona CVE-2021-40539 für den Erstzugang ausnutzt. Sobald die Bedrohungsakteure das System und die Daten eines Opfers in der Hand haben, stellen sie einen Autorisierungsschlüssel bereit, mit dem sich die Opfer beim Verhandlungsportal anmelden können.
Trigona veröffentlichte auf seiner Leak-Site kritische Daten der Opfer, wie z. B. Dokumente und Verträge. Die Website enthielt Bieteroptionen, um Zugang zu den gestohlenen Daten zu erhalten, und einen Countdown-Timer, der den Zahlungsdruck auf die Opfer erhöhen sollte.
Die pro-ukrainische Hacktivistengruppe Ukrainian Cyber Alliance erklärte zwar, dass sie die Trigona Leak Site im Oktober 2023 abgeschaltet habe, doch tauchen Ransomware-Gruppen häufig unter anderen Namen und mit ähnlichen TTPs wieder auf. Die Informationen zu der Art und Weise, wie Trigona während ihrer aktiven Zeit operierte können als Referenz dienen, falls die Gruppe schließlich wieder in Erscheinung tritt.
Anvisierte Regionen und Branchen laut Trend-Daten
Die hier ausgewerteten Daten stammen aus dem Trend Micro™ Smart Protection Network™ (SPN) und beziehen sich lediglich auf unsere eigenen Kunden. Die ersten Trigona-Angriffsversuche auf Trend-Kunden entdeckten wir im Juli 2023 und im August erreichte die Zahl der Versuche ihren Höhepunkt. Danach gingen die Angriffsversuche bis zur gemeldeten Schließung der Leak-Site der Ransomware-Gruppe zurück.
Die Türkei und die Philippinen standen mit 23,5 % bzw. 19,6 % an der Spitze der entdeckten Angriffe, dicht gefolgt von Brasilien mit 13,7 %. Deutschland und Thailand rundeten die Liste der fünf von Trigona Länder angegriffenen Länder ab.
Branchendaten zeigen, dass die Bedrohungsakteure vor allem auf Regierungsorganisationen abzielten, wobei die Angriffsversuche 21,4 % der gesamten Entdeckungen ausmachten.
Anvisierte Regionen und Branchen laut Trigonas Leak Site
Hier geht es um Daten von der Trigona Leak Site zu den erfolgten Angriffen von April 2023 bis Oktober, als die Leak Site geschlossen wurde. Die folgenden Daten stammen aus Organisationen, die erfolgreich von der Ransomware infiltriert wurden und sich weigerten, das Lösegeld zu zahlen.
Basierend auf einer Kombination von Trends Open-Source-Intelligence (OSINT)-Recherche und der Untersuchung der Leak Site, lässt sich sagen, dass die Ransomware innerhalb des oben genannten Zeitraums insgesamt 33 Organisationen infizierte. Davon waren 45,5 % der Unternehmen in Nordamerika und 27,3 % in Europa ansässig. Auch Unternehmen im asiatisch-pazifischen Raum sowie in Lateinamerika und der Karibik sind unter den Trigona-Opfern.
Aus den Daten der Leak-Site geht hervor, dass von den 13 Zielländern fast die Hälfte der Opferorganisationen aus den Vereinigten Staaten stammte. Unternehmen aus Großbritannien machten 9,1 % aus, während australische 6,1 % der Opfer ausmachten.
Die Hauptzielgruppe der Ransomware scheinen kleine und mittlere Unternehmen zu sein.
Infektionsablauf und Techniken
Erstzugang: Trigona-Bedrohungsakteure nutzten die Schwachstelle CVE-2021-40539 aus und zielten auch auf kompromittierte Konten nach dem Ankauf von Zugängen bei Brokern.
Umgehung des Schutzes und Erkundung: Die Malware legt Trojaner ab, um die AV-Services und –Prozesse zu beenden. Zudem verwendet sie Netzwerk Scanner und Advanced Port Scanner für das Auffinden von Netzwerkverbindungen.
Zugriff auf Anmeldedaten: Die Angreifer nutzen Mimikatz, um Anmeldedaten und Kennwörter zu sammeln.
Laterale Bewegungen: Splashtop, ein legitimes Remote Access Tool, dient den Akteuren dazu, weitere Tools auf kompromittierten Maschinen abzulegen. Außerdem setzen sie für einen Remote-Zugriff auf weitere Tools wie LogMeIn, ScreenConnect, AnyDesk und TeamViewer ein.
Erhöhung der Privilegien: Die Akteure nutzen Common Language Runtime (CLR)-Shell bei den Angriffen auf MSSQL-Server. Die Shell lässt mehrfache Befehle zu, von denen einer für zusätzliche Executables für die Erhöhung von Privilegien sorgt.
Auswirkungen: Die Ransomware verschlüsselt die Daten auf den betroffenen Systemen mit einem Advanced Encryption Standard (AES)-Algorithmus. Er enthält eine verschlüsselte Konfiguration in seinem Ressourcenbereich, die bei der Ausführung entschlüsselt wird.
Weitere Einzelheiten zu den Command-line-Argumenten und Versionen von Trigona beinhaltet der Originalbeitrag. Dort findet sich auch eine Auflistung der MITRE Tactics and Techniques sowie eine tabellarische Zusammenfassung der weiteren eingesetzten Malware, Tools und Exploits.
Sicherheitsempfehlungen
Trigona ist zwar relativ neu, hat aber innerhalb des einen Jahres der Aktivitäten verschiedene Techniken erfolgreich eingesetzt und Versionen für bestimmte Betriebssysteme entwickelt. Die Gruppe hat sich den Ruf erworben, den Opfern eine einschüchternde Frist für die Zahlung des Lösegelds zu setzen, und hat auch Daten über den infizierten Computer hinaus auf Shared-Netzlaufwerke zu übertragen. Dieses Verhalten deutet darauf hin, dass sie sich schnell anpassen können und bei der Durchführung ihrer Pläne auch nicht zimperlich sind. In Verbindung mit der vermuteten Zusammenarbeit von Trigona mit CryLock und BlackCat besteht die Möglichkeit, dass sich die Bedrohungsakteure nach der Schließung neu gruppieren und unter einem anderen Namen wieder auftauchen.
Um Systeme vor Ransomware und anderen ähnlichen Bedrohungen zu schützen, können Unternehmen Sicherheits-Frameworks implementieren, die Ressourcen systematisch zuweisen, um eine starke Verteidigungsstrategie zu entwickeln. Im Folgenden finden Sie einige bewährte Best Practices, die dabei helfen können, Ihre unternehmenskritischen Daten vor Ransomware-Angriffen zu schützen:
- Audit und Inventur: Erstellen Sie eine Übersicht über die Assets und Daten und identifizieren Sie autorisierte und nicht autorisierte Geräte und Software. Führen Sie einen Audit der Ereignis-Logs durch.
- Konfigurieren und Monitoren: Verwalten Sie Hardware- und Softwarekonfigurationen. Gewähren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. Überwachen Sie Netzwerk-Ports, Protokolle und Dienste. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern. Erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
- Patchen und Updaten: Führen Sie regelmäßige Schwachstellenüberprüfungen durch. Patchen und aktualisieren Sie Betriebssysteme und Anwendungen.
- Schützen und Wiederherstellen: Implementieren Sie Maßnahmen für den Datenschutz, Backup und Wiederherstellung. Setzen Sie Multifaktor-Authentifizierung ein.
- Sichern und Verteidigen: Implementieren Sie Sandbox-Analyse, um bösartige Mails zu blockieren. Stellen Sie die neuesten Versionen von Sicherheitslösungen auf allen Ebenen des Systems bereit, einschließlich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. das Vorhandensein von verdächtigen Tools im System, und nutzen Sie fortschrittliche Erkennungstechnologien, z. B. auf der Grundlage von KI und maschinellem Lernen.
- Schulen und Testen: Regelmäßiges Training der Mitarbeiter auf Sicherheitskenntnisse, sowie das Aufsetzen eines Red Teams und Pen-Testings.
Ein mehrschichtiger Sicherheitsansatz kann Unternehmen dabei helfen, die möglichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitslösungen, die bösartige Komponenten und verdächtiges Verhalten erkennen, können Unternehmen schützen.
Eine Liste der Indicators of Compromise (IOCs) gibt es ebenfalls sowie noch eine Infografik.