Trigona: Hacker greifen Microsoft-SQL-Server mit Ransomware an

Der Sicherheitsanbieter AhnLab weist darauf hin, dass derzeit eine Hacking-Kampagne gegen schlecht gesicherte und über das Internet erreichbare Microsoft-SQL-Server läuft. Die Server werden per Brute-Force-Angriff oder mit Wörterbuch-Attacken kompromittiert, um die Ransomware Trigona einzuschleusen, wie BleepingComputer berichtet.

Ein kompromittiertes Konto nutzen die Cyberkriminellen, um in einem ersten Schritt eine Malware namens CLR Shell einzuschleusen. Sie soll Systeminformationen sammeln. Außerdem wird sie benutzt, um die Konfiguration des gehackten Kontos zu ändern. Darüber hinaus nutzen die Angreifer eine bekannte Schwachstelle im Windows Secondary Logon Service, um Rechte des LocalSystem zu erlagen.

Trigona schaltet Systemwiederherstellung ab

Die höheren Rechte benötigen die Hacker dem Bericht zufolge, um eine Dropper-Malware zu installieren und zu starten, die als der Dienst svcservice.exe ausgeführt wird. Über diesen Dienst wird schließlich die Trigona-Ransomware als svchost.exe gestartet.

Die Ransomware wiederum wird so konfiguriert, dass sie bei jedem Neustart von Windows automatisch gestartet wird. So wollen die Angreifer sicherstellen, dass ein Neustart des Systems die Verschlüsselung nicht unterbindet. Um einen möglichst großen Schaden anzurichten, ist Trigona in der Lage, die Systemwiederherstellung abzuschalten und jegliche Volume-Schattenkopien zu löschen.

Erstmals wurde die Trigona-Ransomware im Oktober 2022 entdeckt. Sie verschlüsselt mit Ausnahme bestimmter Ordner wie Windows und Programme alle Dateien eines Opfers. Zudem kopieren die Hintermänner die unverschlüsselten Daten und drohen mit einer Veröffentlichung auf ihrer Leak-Website im Darknet.

Jeder Ordner mit verschlüsselten Daten enthält außerdem eine Lösegeldforderung. Dieses ist in der Kryptowährung Monero zu zahlen. Ein Link in der Lösegeldforderung führt Opfer zu einer Website im Tor-Netzwerk, über die sie mit den Erpressern in Kontakt treten können. Laut ID Ransomware soll Trigona allein in diesem Jahr für weltweit 190 Angriffe verantwortlich sein.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Solita-Forschungsbericht zeigt, wie GenAI den Arbeitsalltag ändert

Das Technologie-, Daten- und Designunternehmen Solita hat heute seinen Forschungsbericht „GenAI in Nordic Work Life”…

11 Stunden ago

SEO-Betreuung für Zahnärzte

Warum eine SEO-Betreuung ambitionierte Zahnärzte zur Nr. 1 in ihrer Stadt machen kann.

11 Stunden ago

Ransomware-Gruppe FunkSec setzt auf KI-gestützte Angriffe

Die Gruppe agiert offenbar von Algerien aus. FunkSec verwischt zudem dir Grenzen zwischen Hacktivismus und…

3 Tagen ago

Weltweiter PC-Markt wächst 2024 um 1,3 Prozent

Auch das vierte Quartal 2024 beschert den PC-Herstellern ein moderates Wachstum der Auslieferungen. 2025 soll…

3 Tagen ago

Angreifer schmuggeln Malware in Bilder auf Website

Malware-by-Numbers-Kits und GenAI machen Cyber-Kriminellen das Leben leichter als jemals zuvor.

4 Tagen ago

Microsoft beendet Support für Office für Windows 10 ebenfalls im Oktober

Betroffen sind alle Versionen von Office und Microsoft 365 unter Windows 10, inklusive Office 2024.…

4 Tagen ago