Trigona

Überblick

Trigona ist eine Ransomware, die Dateien auf befallenen Systemen verschlüsselt und an die Dateinamen die Endung „._locked“ anhängt – so wird etwa aus „1.jpg“ die Datei „1.jpg._locked“ und aus „2.png“ die Datei „2.png._locked“. Im Zuge der Verschlüsselung legt Trigona die Datei „how_to_decrypt.hta“ ab, die beim Öffnen eine Erpressernachricht anzeigt. Charakteristisch ist, dass die Schadsoftware bestimmte Informationen unmittelbar in die verschlüsselten Dateien einbettet: den verschlüsselten Entschlüsselungsschlüssel sowie Kennungen, die die jeweilige Kampagne und das einzelne Opfer identifizieren. Auf diese Weise lassen sich die betroffenen Dateien einer konkreten Angriffswelle zuordnen. Trigona zielt damit auf die Daten der Geschädigten und macht diese unbrauchbar, um anschließend Lösegeld für die Wiederherstellung zu fordern.

Taktiken & Vorgehen

Den initialen Zugang verschafft sich Trigona über das Ausnutzen öffentlich erreichbarer Anwendungen. Zur dauerhaften Verankerung im System werden Autostart-Mechanismen über Registry-Run-Schlüssel und den Autostart-Ordner genutzt. Zur Tarnung gibt sich Schadcode als legitime Datei aus (Match Legitimate Name or Location), Inhalte werden entschlüsselt bzw. dekodiert, und über das legitime Windows-Werkzeug Mshta wird Code ausgeführt; zeitbasierte Prüfungen dienen der Sandbox-Erkennung. Zugangsdaten werden mittels Brute Force und Mimikatz erlangt. Zur Erkundung kommen Advanced Port Scanner und SoftPerfect NetScan sowie die Ermittlung von Nutzern, Dateien, Verzeichnissen und Netzwerkfreigaben zum Einsatz. Für Fernzugriff und Steuerung werden Cobalt Strike, AnyDesk, LogMeIn, ScreenConnect, Splashtop und TeamViewer verwendet, für die Datenausleitung MEGA und RClone. Abschließend folgen Datenzerstörung, Verschlüsselung und Systemneustart.

Schutzmaßnahmen

Öffentlich erreichbare Anwendungen sollten zeitnah gepatcht und gehärtet werden, da Trigona den Erstzugang über solche Dienste sucht. Autostart-Einträge in Registry-Run-Schlüsseln und im Autostart-Ordner sollten überwacht werden. Konten sollten gegen Brute-Force-Angriffe durch Sperrmechanismen und Mehr-Faktor-Authentisierung abgesichert werden, um den Einsatz von Mimikatz und das Erraten von Zugangsdaten zu erschweren. Die Ausführung über Mshta sollte eingeschränkt und überwacht werden. Der Einsatz von Fernwartungswerkzeugen wie AnyDesk, LogMeIn, ScreenConnect, Splashtop und TeamViewer sollte kontrolliert und nicht benötigte Software blockiert werden. Auffällige Netzwerkscans sowie ausgehende Datenübertragungen zu Diensten wie MEGA und RClone sollten erkannt und unterbunden werden.