Pixabay.com © geralt Public Domain Typische Meldung einer Ransomware: „Your personal files are encrypted.“ oder zu Deutsch: „Ihre persönlichen Daten wurden verschlüsselt.“
Der Sicherheitsanbieter AhnLab weist darauf hin, dass derzeit eine Hacking-Kampagne gegen schlecht gesicherte und über das Internet erreichbare Microsoft-SQL-Server läuft. Die Server werden per Brute-Force-Angriff oder mit Wörterbuch-Attacken kompromittiert, um die Ransomware Trigona einzuschleusen, wie BleepingComputer berichtet.
Ein kompromittiertes Konto nutzen die Cyberkriminellen, um in einem ersten Schritt eine Malware namens CLR Shell einzuschleusen. Sie soll Systeminformationen sammeln. Außerdem wird sie benutzt, um die Konfiguration des gehackten Kontos zu ändern. Darüber hinaus nutzen die Angreifer eine bekannte Schwachstelle im Windows Secondary Logon Service, um Rechte des LocalSystem zu erlagen.
Die höheren Rechte benötigen die Hacker dem Bericht zufolge, um eine Dropper-Malware zu installieren und zu starten, die als der Dienst svcservice.exe ausgeführt wird. Über diesen Dienst wird schließlich die Trigona-Ransomware als svchost.exe gestartet.
Die Ransomware wiederum wird so konfiguriert, dass sie bei jedem Neustart von Windows automatisch gestartet wird. So wollen die Angreifer sicherstellen, dass ein Neustart des Systems die Verschlüsselung nicht unterbindet. Um einen möglichst großen Schaden anzurichten, ist Trigona in der Lage, die Systemwiederherstellung abzuschalten und jegliche Volume-Schattenkopien zu löschen.
Erstmals wurde die Trigona-Ransomware im Oktober 2022 entdeckt. Sie verschlüsselt mit Ausnahme bestimmter Ordner wie Windows und Programme alle Dateien eines Opfers. Zudem kopieren die Hintermänner die unverschlüsselten Daten und drohen mit einer Veröffentlichung auf ihrer Leak-Website im Darknet.
Jeder Ordner mit verschlüsselten Daten enthält außerdem eine Lösegeldforderung. Dieses ist in der Kryptowährung Monero zu zahlen. Ein Link in der Lösegeldforderung führt Opfer zu einer Website im Tor-Netzwerk, über die sie mit den Erpressern in Kontakt treten können. Laut ID Ransomware soll Trigona allein in diesem Jahr für weltweit 190 Angriffe verantwortlich sein.
Das Technologie-, Daten- und Designunternehmen Solita hat heute seinen Forschungsbericht „GenAI in Nordic Work Life”…
Warum eine SEO-Betreuung ambitionierte Zahnärzte zur Nr. 1 in ihrer Stadt machen kann.
Die Gruppe agiert offenbar von Algerien aus. FunkSec verwischt zudem dir Grenzen zwischen Hacktivismus und…
Auch das vierte Quartal 2024 beschert den PC-Herstellern ein moderates Wachstum der Auslieferungen. 2025 soll…
Malware-by-Numbers-Kits und GenAI machen Cyber-Kriminellen das Leben leichter als jemals zuvor.
Betroffen sind alle Versionen von Office und Microsoft 365 unter Windows 10, inklusive Office 2024.…