Unit 42, die Forschungsabteilung von Palo Alto Networks, warnt vor der Trigona-Ransomware, einem relativ neuen Ransomware-Stamm, den Sicherheitsforscher erstmals Ende Oktober 2022 entdeckten. So hat Unit 42 hat festgestellt, dass Trigona im Dezember 2022 sehr aktiv war und mindestens 15 potenzielle Opfer kompromittiert hat.
Die Malware mit dem Namen Trigona tauchte Ende Oktober 2022 auf und richtete sich gegen Unternehmen in den Bereichen Landwirtschaft, Bauwesen, Finanzen, Hightech, Produktion und Marketing in Australien, Italien, Frankreich, Deutschland, Neuseeland und den Vereinigten Staaten. Die Forscher identifizierten zudem zwei neue Trigona-Erpresserbriefe im Januar 2023 und zwei im Februar 2023. Eine aussergewöhnliche Taktik von Trigona besteht darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden. Die erste Erwähnung von Trigona, offenbar benannt nach einer Familie stachelloser Bienen, stammt aus einem Tweet von Sicherheitsforschern Ende Oktober 2022. Malware-Samples wurden an BleepingComputer weitergeleitet, das seinerseits am 29. November 2022 einen Blogpost über die Ransomware veröffentlichte. Die Berater und Forscher von Unit 42 haben die Aktivitäten von Trigona im Rahmen der Reaktion auf Vorfälle ebenfalls direkt verfolgt. Unit 42 hat beobachtet, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft, um Erkundungen durchzuführen. Anschliessend kommt ein RMM-Tool (Remote Access and Management) namens Splashtop zum Einsatz, um Malware in die Zielumgebung zu übertragen, gefolgt von der Erstellung neuer Benutzerkonten und schliesslich dem Einsatz der Ransomware.
Trigona eine echte Bedrohung
Bedrohungsforscher von Unit 42 vermuten, dass es sich bei der Surface-Web-Leak-Seite um eine Entwicklungsumgebung handelte, in der Funktionen getestet wurden, bevor eine mögliche Verlagerung ins Dark Web erfolgte. Mehrere Beiträge scheinen Duplikate der BlackCat-Leak-Seite zu sein. Einige der Countdown-Timer sind deutlich länger. Die Leak-Site ist im Surface Web nicht mehr verfügbar. Unit 42 hat ebenso Beweise für kriminelle Aktivitäten im Zusammenhang mit Trigona gesehen, die von einem kompromittierten Windows 2003-Server ausgingen, gefolgt von der Ausführung von NetScan zur internen Erkundung. Angreifer missbrauchen oft legitime Produkte für böswillige Zwecke, nutzen sie aus oder unterwandern sie. Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird. Trigona scheint derzeit unter dem Radar aktiv zu sein. Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit grösserem Bekanntheitsgrad die Schlagzeilen beherrschen. Palo Alto Networks hofft, dass die Aufklärung über Trigona und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen. Aufgrund der zahlreichen Opfer, die Unit 42 identifiziert hat, und der sich derzeit entwickelnden Leak-Site von Trigona werden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – und möglicherweise sogar noch verstärken.
