RansomwareMalwareDatenschutz

Trigona-Ransomware nutzt eigenes Datendiebstahl-Tool: Angriffe werden effizienter und versteckter

Trigona-Ransomware nutzt eigenes Datendiebstahl-Tool: Angriffe werden effizienter und versteckter
Zusammenfassung

Die Trigona-Ransomware-Bande setzt verstärkt auf spezialisierte Werkzeuge statt auf herkömmliche Software, um Daten aus kompromittierten Netzwerken zu stehlen. Das zeigen aktuelle Attacken von März, bei denen ein Affiliate der Cyberkriminellen ein maßgeschneidertes Kommandozeilen-Tool namens „uploader_client.exe" einsetzte. Diese Entwicklung deutet darauf hin, dass die Angreifer in proprietäre Malware investieren, um während kritischer Angriffsphasen unter dem Radar von Sicherheitslösungen zu bleiben. Das Tool verbindet sich mit hartcodierten Servern und umgeht Sicherheitsprodukte durch gezielte Techniken wie das Ausnutzen von anfälligen Kernel-Treibern. Trigona operiert nach einem Double-Extortion-Modell und fordert von Opfern Lösegeld in Kryptowährungen. Obwohl ukrainische Cyber-Aktivisten die Bande im Oktober 2023 zeitweise stilllegten, zeigen neue Angriffe, dass die Gruppe ihre Operationen fortgesetzt hat. Für deutsche Unternehmen und Behörden stellt die kontinuierliche Weiterentwicklung dieser Malware ein erhebliches Risiko dar, besonders wenn sie Ziele in Deutschland ins Visier nehmen. Sicherheitsexperten empfehlen daher verstärkte Überwachungsmaßnahmen und zeitnahe Implementierung der veröffentlichten Indikatoren zur Angriffserkennung.

Trigona, die Ransomware-Operation, die im Oktober 2022 als Double-Extortion-Kampagne startete und Lösegeld in der Kryptowährung Monero fordert, bereitet Sicherheitsexperten zunehmend Sorgen. Obwohl ukrainische Cyber-Aktivisten im vergangenen Oktober die Gruppe empfindlich trafen – sie hackten Server und erbeuteten Quellcode sowie Datenbankeinträge – zeigen aktuelle Beobachtungen von Symantec, dass die Angreifer nicht nachgeben.

Das Besondere an den neuesten Angriffen ist die Verlagerung auf eine eigens entwickelte Software. Das Tool “uploader_client.exe” verbindet sich mit hardcodierten Serveradressen und ermöglicht den Datendiebstahl mit optimierter Performance und ausgefeilten Evasion-Techniken. In mindestens einem dokumentierten Fall zielten die Angreifer gezielt auf hochwertige Dokumente wie Rechnungen und PDFs auf Netzlaufwerken ab.

Die Angriffskette folgt dabei einem etablierten Schema: Zunächst installieren die Angreifer die Huorong Network Security Suite (HRSword) als Kernel-Treiberdienst. Anschließend werden zusätzliche Tools bereitgestellt, die Sicherheitsprodukte deaktivieren – darunter PCHunter, Gmer, YDark, WKTools und weitere. Symantec weist darauf hin, dass viele dieser Werkzeuge anfällige Kernel-Treiber ausnutzen, um Endpoint-Protection-Prozesse zu beenden.

Zum Einsatz kommen auch bekannte Penetrations-Tools: PowerRun ermöglicht privilegierte Ausführung von Anwendungen und umgeht User-Mode-Schutzmaßnahmen. AnyDesk wird für direkten Remote-Zugriff genutzt, während Mimikatz und Nirsoft-Utilities Zugangsdaten und Passwörter extrahieren.

Symantec bewertet diese Entwicklung als Zeichen verstärkter professionalisierung: “Die Investition in proprietäre Malware deutet darauf hin, dass die Angreifer gezielt eine niedrigere Erkennungsrate während ihrer kritischsten Operationsphasen anstreben.”

Für deutsche Unternehmen ist eine Steigerung der Wachsamkeit geboten. Symantec hat Indikatoren für Kompromittierungen (IoCs) veröffentlicht, um zeitnahe Erkennung und Blockade zu ermöglichen. Das Sicherheitsunternehmen empfiehlt insbesondere die Überwachung verdächtiger Kernel-Treiber-Aktivitäten und ungewöhnlicher Exfiltrationsmuster.

Ähnliche Artikel