Le ransomware Trigona ciblerait des serveurs MS-SQL exposés

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Le CERT de la société de cybersécurité AhnLab aurait découvert l’installation du ransomware Trigona sur des serveurs MS-SQL vulnérables aux attaques par Brute Force.

Observant cette campagne de compromission, les chercheurs de AhnLab auraient identifié un malware d’assemblage, surnommé CLR Shell. Ce malware serait responsable de :

  • L’exploitation de la vulnérabilité CVE-2016-0099 au sein de Windows Secondary Logon Service ;
  • L’élévation des privilèges en LocalSystem via l’exécution du fichier « nt.exe » ;
  • L’exécution du dropper « sqlservr[.]exe« , responsable de la création d’un fichier batch nommé « svchost[.]ba » ;
  • La suppression des points de restauration et des clichés instantanés (shadow copies) du serveur MS-SQL compromis.

Le fichier batch nommé « svchost[.]ba« , serait enfin responsable de l’exécution du ransomware Trigona sous le nom de « svcservice[.]exe« .

Observé pour la première fois en octobre 2022, le ransomware Trigona aurait été codé en Delphi chiffrant les fichiers avec l’extension « [.]_locked« .

Les attaquants informent par la suite la victime que ses données ont été compromises à l’aide d’une note de rançon portant le nom « how_to_decrypt[.]hta« , lui demandant d’installer un navigateur Tor et de contacter une adresse spécifiée afin de lancer le processus de récupération.

Association du ransomware Trigona

Selon les chercheurs de l’Unit 42 de Palo Alto, Trigona aurait été associé à la compromission de plusieurs organisations dans des secteurs tels que l’industrie, la finance, la construction, l’agriculture, le marketing et la haute technologie. Les entreprises touchées se trouvaient aux États-Unis, en Italie, en France, en Allemagne, en Australie et en Nouvelle-Zélande. L’Unit 42 aurait identifié 15 victimes compromises en décembre 2022. De plus, les chercheurs auraient observé des notes de rançon identiques à celles de BlackCat (ALPHV) à deux reprises.

Les opérateurs de Trigona utiliseraient les mêmes TTPs que celles de CryLock, suggérant de nouvelles affiliations entre les deux modes opératoires. Une adresse courriel associée aux notes de rançon diffusées par Trigona (phandaledr@onionmail[.]org) aurait été mentionnée sur un forum de discussion évoquant CryLock. Enfin, les données de sortie de NetScan collectées par les chercheurs indiquent la présence de caractères cyrilliques, suggérant que les développeurs du ransomware soient russophones.

Indicateurs de compromission

file:Ransomware/Win.Generic.C5384838 (2023.02.20.00)
file:Trojan/BAT.Runner.SC187699 (2023.04.08.00)
file:Trojan/Win.Generic.C5148943 (2022.05.30.00)
file:Trojan.Win.SqlShell.C5310259 (2022.11.21.03)
file:Unwanted.Win.Agent.C5406884 (2023.04.08.00)

ipv4:45.227.253[.]99
ipv4:45.227.253[.]106
ipv4:45.227.253[.]98
ipv4:45.227.253[.]107

file:bef87e4d9fcaed0d8b53bce84ff5c5a70a8a30542100ca6d7822cbc8b76fef13
file:853909af98031c125a351dad804317c323599233e9b14b79ae03f9de572b014e
file:24123421dd5b78b79abca07bf2dac683e574bf9463046a1d6f84d1177c55f5e5
file:4724EE7274C31C8D418904EE7E600D92680A54FECDAC28606B1D73A28ECB0B1E
file:e22008893c91cf5bfe9f0f41e5c9cdafae178c0558728e9dfabfc11c34769936
file:8d069455c913b1b2047026ef290a664cef2a2e14cbf1c40dce6248bd31ab0067
file:544a4621cba59f3cc2aeb3fe34c2ee4522593377232cd9f78addfe537e988ddc
file:a15c7b264121a7c202c74184365ca13b561fb303fb8699299039a59ab376adc6
file:b7fba3abee8fd3bdac2d05c47ab75fdaa0796722451bed974fb72e442ab4fefd
file:e5cf252041045b037b9a358f5412ae004423ad23eac17f3b03ebef7c8147a3bb
file:5603d4035201a9e6d0e130c561bdb91f44d8f21192c8e2842def4649333757ab
file:69f245dc5e505d2876e2f2eec87fa565c707e7c391845fa8989c14acabc2d3f6
file:94979b61bba5685d038b4d66dd5e4e0ced1bba4c41ac253104a210dd517581b8
file:9c8a4159166062333f2f74dd9d3489708c35b824986b73697d5c34869b2f7853
file:c5d09435d428695ce41526b390c17557973ee9e7e1cf6ca451e5c0ae443470ca
file:how_to_decrypt.hta

url:3x55o3u2b7cjs54eifja5m3ottxntlubhjzt6k6htp5nrocjmsxxh7ad[.]onion

email_addr:phandaledr@onionmail[.]org
email_addr:farusbig@tutanota[.]com
email_addr:phandaledr@onionmail[.]org

Références

https://asec.ahnlab.com/en/51343/
https://unit42.paloaltonetworks.com/trigona-ransomware-update/

CERT-XMCO

Découvrir d'autres articles