Pixabay.com © geralt Public Domain Typische Meldung einer Ransomware: „Your personal files are encrypted.“ oder zu Deutsch: „Ihre persönlichen Daten wurden verschlüsselt.“
Der Sicherheitsanbieter AhnLab weist darauf hin, dass derzeit eine Hacking-Kampagne gegen schlecht gesicherte und über das Internet erreichbare Microsoft-SQL-Server läuft. Die Server werden per Brute-Force-Angriff oder mit Wörterbuch-Attacken kompromittiert, um die Ransomware Trigona einzuschleusen, wie BleepingComputer berichtet.
Ein kompromittiertes Konto nutzen die Cyberkriminellen, um in einem ersten Schritt eine Malware namens CLR Shell einzuschleusen. Sie soll Systeminformationen sammeln. Außerdem wird sie benutzt, um die Konfiguration des gehackten Kontos zu ändern. Darüber hinaus nutzen die Angreifer eine bekannte Schwachstelle im Windows Secondary Logon Service, um Rechte des LocalSystem zu erlagen.
Die höheren Rechte benötigen die Hacker dem Bericht zufolge, um eine Dropper-Malware zu installieren und zu starten, die als der Dienst svcservice.exe ausgeführt wird. Über diesen Dienst wird schließlich die Trigona-Ransomware als svchost.exe gestartet.
Die Ransomware wiederum wird so konfiguriert, dass sie bei jedem Neustart von Windows automatisch gestartet wird. So wollen die Angreifer sicherstellen, dass ein Neustart des Systems die Verschlüsselung nicht unterbindet. Um einen möglichst großen Schaden anzurichten, ist Trigona in der Lage, die Systemwiederherstellung abzuschalten und jegliche Volume-Schattenkopien zu löschen.
Erstmals wurde die Trigona-Ransomware im Oktober 2022 entdeckt. Sie verschlüsselt mit Ausnahme bestimmter Ordner wie Windows und Programme alle Dateien eines Opfers. Zudem kopieren die Hintermänner die unverschlüsselten Daten und drohen mit einer Veröffentlichung auf ihrer Leak-Website im Darknet.
Jeder Ordner mit verschlüsselten Daten enthält außerdem eine Lösegeldforderung. Dieses ist in der Kryptowährung Monero zu zahlen. Ein Link in der Lösegeldforderung führt Opfer zu einer Website im Tor-Netzwerk, über die sie mit den Erpressern in Kontakt treten können. Laut ID Ransomware soll Trigona allein in diesem Jahr für weltweit 190 Angriffe verantwortlich sein.
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…