Atacuri cu ransomware-ul Trigona asupra serverelor Microsoft SQL

Persoanele rău intenționate realizează  atacuri asupra serverelor Microsoft SQL (MS-SQL) nesecurizate și expuse la nivel intern pentru a implementa payload-uri ale ransomware-ului Trigona și pentru a cripta toate fișierele.

Pe serverele MS-SQL sunt realizate atacuri de tip brute-force sau de tip dictionary. După ce se conectează la un server, atacatorii implementează programe malware denumite CLR Shell.

Acest program malware este utilizat pentru a obține informații despre sistem, pentru a modifica configurația contului compromis și pentru a crește privilegiile la nivelul LocalSystem prin exploatarea unei vulnerabilități din Windows Secondary Logon Service (care va fi necesară pentru a lansa ransomware-ul ca serviciu).

De asemenea, aceștia configurează binarul ransomware-ului pentru a se lansa automat la fiecare repornire a sistemului prin intermediul unei chei de autoexecutare Windows pentru a se asigura că sistemele vor fi criptate chiar și după repornire.

Trigona criptează toate fișierele de pe dispozitivele victimelor, cu excepția celor din anumite foldere, inclusiv directoarele Windows și Program Files.

În plus, ransomware-ul redenumește fișierele criptate prin adăugarea extensiei ._locked și încorporează cheia de decriptare criptată, ID-ul campaniei și ID-ul victimei (numele companiei) în fiecare fișier blocat. De asemenea, creează note de răscumpărare cu numele “how_to_decrypt.hta”.

Sursă: https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-deploy-trigona-ransomware/