Ende Oktober wurde Trigona erstmals entdeckt, jetzt warnt Unit 42, die Forschungsabteilung von Palo Alto Networks, vor dem „relativ neuen Ransomware-Stamm.“
Der Erpressertrojaner greift Unternehmen an und verlangt Lösegeld in Form von Kryptowährung. Wir haben alle Infos.
Unser Beitrag über Trigona im Überblick:
Trigona – von der Biene zur Ransomware
Bei Trigona handelt es sich im ursprünglichen Sinn um eine stachellose Biene, die in Südamerika beheimatet ist. Ein harmloses, kleines Tierchen, kaum größer als einen Zentimeter. Friedfertig, wie Bienen sind, sammelt die Art Pollen, um Honig als Nahrung für den Nachwuchs zu produzieren.
Nicht ganz so friedfertig ist die Ransomware, die den gleichen Namen trägt. Die Schadsoftware ist seit Oktober vergangenen Jahres aktiv und trotz der Kompromittierung zahlreicher Unternehmen bislang weitestgehend unbekannt.
Betroffen seien bislang die Bereiche Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie, eine Ausweitung ist wahrscheinlich, denn vor allem zu Jahresbeginn tauchten mehrere neue Erpresserschreiben auf.
Damit Hacker keinen Erfolg haben: IT-Sicherheitsstrategie und Backup-Strategie. Bild: Pexels/@mikhail-nilov
Was macht die Ransomware Trigona?
Unit 42 berichtet, dass sich der Ransomware-Betreiber zunächst Zugang zur Umgebung eines Ziels verschafft habe, um Erkundungen durchzuführen. Danach komme ein RMM-Tool (Remote Access und Management) zum Einsatz, um Malware einzuschleusen. Es folgt die Erstellung neuer Benutzerkonten, dann kommt die Ransomware zum Einsatz. Im Detail verläuft der Angriff folgendermaßen:
Angriffsziel sind nach aktuellen Erkenntnissen schlecht gesicherte Microsoft-SQL-Server, die per Brute-Force-Angriff oder Wörterbuch-Attacken kompromittiert werden, um Trigona einzuschleusen. Zuvor werden Systeminformationen gesammelt und Konfigurationen der gehackten Konten geändert, um administrative Rechte zu erlangen. Mit diesen Rechten ist es dann möglich, die Ransomware zu starten. Trigona beginnt dann mit der Verschlüsselung sensibler Dateien.
Der Erpressertrojaner ist so eingestellt, dass er bei jedem Neustart des Rechners automatisch startet und Dateien verschlüsselt. Mit dieser Funktion wollen die Angreifer sicherstellen, dass ein Neustart die Verschlüsselung nicht verhindert. Um einen maximal großen Schaden anzurichten, kann die Ransomware zudem die Systemwiederherstellung ausschalten und Schattenkopien löschen.
Verschlüsselung und Lösegeldforderung
Der fiese Erpressertrojaner verschlüsselt so gut wie alle Dateien, die er bei seinem Opfer finden kann. Zusätzlich kopieren die Hintermänner die nicht verschlüsselten Daten und drohen damit, sie im Darknet zu veröffentlichen.
Treten die Erpresser mit ihren Opfern in Kontakt, enthält jeder Ordner mit verschlüsselten Daten eine Lösegeldforderung und einen Link zu einer Webseite im Tor-Netzwerk. Die Lösegeldforderung ist in der Kryptowährung Monero zu begleichen, wenn die Entschlüsselung der Daten gewünscht ist.
Wie so oft bietet auch in diesem Fall nur eine durchdachte Backup-Strategie einen wirkungsvollen Schutz – neben einer Antivirus-Software, einer Firewall und natürlich Awareness-Schulungen für Mitarbeiter. Wenn Sie Unterstützung bei diesen Themen benötigen, wenden Sie sich an Ihren PC-SPEZIALIST in Ihrer Nähe und lassen Sie sich beraten, gern auch zum IT-Basisschutz, der grundlegenden Absicherung Ihrer Firmen-IT.
_______________________________________________
Quellen: unit42.paloaltonetworks, bleepingcomputer, datensicherheit, zdnet
Schreiben Sie einen Kommentar