Palo Alto Networks: Warnung vor neuem Ransomware-Stamm Trigona

Trigona erstmals Ende Oktober 2022 entdeckt

[datensicherheit.de, 22.03.2023] „Unit 42“, die Forschungsabteilung von Palo Alto Networks, warnt nach eigenen Angaben vor der „Trigona“-Ransomware – „einem relativ neuen Ransomware-Stamm, den Sicherheitsforscher erstmals Ende Oktober 2022 entdeckten“. So habe die „Unit 42“ festgestellt, „dass ,Trigona’ im Dezember 2022 sehr aktiv war und mindestens 15 potenzielle Opfer kompromittiert hat“. Die betroffenen Unternehmen stammen demnach aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher hätten zudem zwei neue „Trigona“-Erpresserbriefe im Januar 2023 identifiziert und zwei im Februar 2023. Eine außergewöhnliche Taktik von „Trigona“ bestehe darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden.

BleepingComputer veröffentlichte am 29. November 2022 Blogpost über diese Ransomware

Die erste Erwähnung von „Trigona“ (offenbar benannt nach einer Familie stachelloser Bienen) stamme aus einem Tweet von Sicherheitsforschern Ende Oktober 2022. Malware-Samples seien an „BleepingComputer“ weitergeleitet worden, wo am 29. November 2022 ein Blogpost über diese Ransomware veröffentlicht worden sei. Die Berater und Forscher der „Unit 42“ hätten die Aktivitäten von „Trigona“ im Rahmen der Reaktion auf Vorfälle ebenfalls direkt verfolgt.

Die „Unit 42“ habe beobachtet, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft habe, um Erkundungen durchzuführen. „Anschließend kommt ein RMM-Tool (Remote Access and Management) namens ,Splashtop’ zum Einsatz, um Malware in die Zielumgebung zu übertragen, gefolgt von der Erstellung neuer Benutzerkonten und schließlich dem Einsatz der Ransomware.“

Unit 42 hat Beweise für kriminelle Aktivitäten im Zusammenhang mit Trigona

Bedrohungsforscher der „Unit 42“ vermuten, „dass es sich bei der Surface-Web-Leak-Seite um eine Entwicklungsumgebung handelte, in der Funktionen getestet wurden, bevor eine mögliche Verlagerung ins DarkWeb erfolgte“. Mehrere Beiträge schienen Duplikate der „BlackCat“-Leak-Seite zu sein. Einige der Countdown-Timer seien deutlich länger. Die Leak-Site sei im „Surface Web“ nicht mehr verfügbar.

Die „Unit 42“ habe ebenso Beweise für kriminelle Aktivitäten im Zusammenhang mit „Trigona“ gesehen, welche von einem kompromittierten „Windows 2003“-Server ausgegangen seien, gefolgt von der Ausführung von „NetScan“ zur internen Erkundung. Angreifer missbrauchten oft legitime Produkte für böswillige Zwecke, nutzten sie aus oder unterwanderten sie. „Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.“

Trigona derzeit offenbar noch unter dem Radar aktiv

„Trigona“ scheine derzeit „unter dem Radar“ aktiv zu sein. „Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit größerem Bekanntheitsgrad die Schlagzeilen beherrschen.“ Palo Alto Networks hofft, „dass die Aufklärung über ,Trigona’ und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen“.

Aufgrund der zahlreichen, von der „Unit 42“ identifizierten Opfer und der sich derzeit entwickelnden Leak-Site von „Trigona“ würden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – „und möglicherweise sogar noch verstärken“.

Weitere Informationen zu Thema:

UNIT 42, Frank Lee & Scott Roland, 16.03.2023
Bee-Ware of Trigona, An Emerging Ransomware Strain

MalwareHunterTeam auf Twitter
Some ransomware gang…

BLEEPING COMPUTER, Lawrence Abrams, 29.11.2022
Trigona ransomware spotted in increasing attacks worldwide