Trigona rozwija własne narzędzie do eksfiltracji danych w atakach ransomware

Wprowadzenie do problemu / definicja

Grupa ransomware Trigona została ponownie zaobserwowana w kampaniach, w których obok szyfrowania danych stosowany jest także etap eksfiltracji informacji z użyciem autorskiego narzędzia. To istotna zmiana operacyjna, ponieważ napastnicy odchodzą od powszechnie wykrywanych utility do transferu plików i inwestują we własne oprogramowanie, aby zwiększyć skuteczność kradzieży danych oraz utrudnić detekcję.

Dla obrońców oznacza to rosnące znaczenie analiz behawioralnych. Niestandardowe komponenty coraz częściej pozwalają grupom ransomware omijać reguły oparte na reputacji, znanych nazwach narzędzi i standardowych wzorcach ruchu sieciowego.

W skrócie

• Trigona wykorzystuje autorskie narzędzie wiersza poleceń do szybkiej i selektywnej eksfiltracji danych.
• Oprogramowanie obsługuje równoległe przesyłanie plików, rotację połączeń TCP oraz filtrowanie typów plików.
• W kampaniach zaobserwowano także wyłączanie zabezpieczeń, użycie podatnych sterowników oraz narzędzi do kradzieży poświadczeń.
• Model działania wskazuje na dojrzały łańcuch ataku charakterystyczny dla operacji typu double extortion.

Kontekst / historia

Trigona pojawiła się jako operacja ransomware typu double extortion w październiku 2022 roku. Model ten łączy szyfrowanie systemów ofiary z równoczesną kradzieżą danych, a następnie presją opartą na groźbie ich publikacji.

W październiku 2023 roku działalność grupy została zakłócona po naruszeniu jej infrastruktury i ujawnieniu części danych wewnętrznych, w tym kodu źródłowego oraz rekordów bazodanowych. Najnowsze obserwacje pokazują jednak, że aktywność powiązana z Trigona nie wygasła, a operatorzy lub afilianci nadal rozwijają zaplecze techniczne.

Z perspektywy bezpieczeństwa to ważny sygnał ostrzegawczy. Nawet po poważnych zakłóceniach infrastruktury przestępczej grupy ransomware potrafią odbudować operacje, modyfikować taktyki i wdrażać własne komponenty malware, aby utrzymać zdolność do prowadzenia kampanii.

Analiza techniczna

W najnowszych atakach zaobserwowano wykorzystanie pliku „uploader_client.exe”, który pełni rolę dedykowanego narzędzia do eksfiltracji danych. Program łączy się z wpisanym na stałe adresem serwera i został zaprojektowany z myślą o szybkim transferze informacji z przejętego środowiska.

Jedną z kluczowych cech tego narzędzia jest możliwość utrzymywania do pięciu równoczesnych połączeń dla pojedynczego pliku. Taka architektura przyspiesza przesyłanie danych i zwiększa wydajność operacji, zwłaszcza przy kradzieży dużych zbiorów dokumentów z zasobów sieciowych.

Dodatkowo połączenia TCP są rotowane po przekroczeniu 2 GB ruchu. Z punktu widzenia atakujących może to ograniczać skuteczność prostszych mechanizmów monitorujących długotrwałe sesje i nietypowe transfery wychodzące.

Narzędzie wspiera również wybiórczą eksfiltrację określonych typów plików, z pominięciem danych mniej wartościowych, takich jak część dużych plików multimedialnych. To pokazuje, że atakujący koncentrują się na materiałach o wysokiej wartości biznesowej, prawnej i finansowej. W jednym z incydentów celem były między innymi faktury oraz pliki PDF przechowywane na udziałach sieciowych.

Autorzy narzędzia zastosowali także klucz uwierzytelniający, który ma ograniczać dostęp osób trzecich do skradzionych danych. Tego typu mechanizmy wskazują na bardziej uporządkowane zaplecze operacyjne i próbę zabezpieczenia własnej infrastruktury przestępczej.

Łańcuch ataku nie kończył się na eksfiltracji. W analizowanych kampaniach napastnicy instalowali HRSword jako usługę sterownika jądra, a następnie wdrażali zestaw dodatkowych programów do wyłączania lub omijania zabezpieczeń. Wśród obserwowanych narzędzi znalazły się utility wykorzystywane do kończenia procesów ochronnych, często z użyciem podatnych sterowników w schemacie BYOVD.

Część komponentów uruchamiano z podwyższonymi uprawnieniami za pomocą PowerRun, co pomagało omijać zabezpieczenia działające w przestrzeni użytkownika. W dalszej fazie ataku wykorzystywano również oprogramowanie do zdalnego dostępu oraz narzędzia do kradzieży poświadczeń i odzyskiwania haseł. Taki zestaw technik wskazuje na dojrzały przebieg intruzji: uzyskanie dostępu, eskalacja uprawnień, wyłączenie ochrony, kradzież danych, a dopiero później finalizację etapu ransomware.

Konsekwencje / ryzyko

Najważniejszym ryzykiem jest wzrost skuteczności eksfiltracji danych przy jednoczesnym obniżeniu wykrywalności. Wiele organizacji budowało detekcję wokół znanych narzędzi do transferu plików, dlatego przejście na autorskie komponenty utrudnia korelację zdarzeń i może wydłużać czas identyfikacji incydentu.

Drugim problemem jest selektywny dobór plików. Jeżeli napastnik potrafi szybko odfiltrować dane o najwyższej wartości, organizacja może ponieść poważne straty nawet wtedy, gdy całkowity wolumen wykradzionych informacji nie jest bardzo duży.

W praktyce oznacza to większe ryzyko ujawnienia dokumentów finansowych, kontraktów, dokumentacji prawnej, danych klientów lub informacji operacyjnych. Dodatkowo wykorzystanie narzędzi do wyłączania ochrony endpointów i obchodzenia zabezpieczeń jądra systemu zwiększa szansę na pełne przejęcie stacji roboczych i serwerów.

Jeżeli do tego dochodzi kradzież poświadczeń, skala incydentu może szybko wyjść poza pierwotnie zajęty segment infrastruktury. To utrudnia zarówno ograniczanie skutków ataku, jak i późniejszą analizę powłamaniową.

Rekomendacje

Organizacje powinny rozszerzyć monitoring o behawioralne wykrywanie nietypowych transferów danych, zwłaszcza z udziałem procesów niestandardowych uruchamianych z linii poleceń. Warto analizować anomalie związane z równoległym wysyłaniem plików, nietypowymi wzorcami połączeń wychodzących, transferami do nieznanych hostów oraz nagłymi odczytami dużej liczby dokumentów z udziałów sieciowych.

Należy również wdrożyć ochronę przed technikami BYOVD i ograniczyć możliwość ładowania nieautoryzowanych sterowników. Kluczowe znaczenie mają mechanizmy kontroli aplikacji, blokowanie narzędzi administracyjnych używanych poza uzasadnionym kontekstem oraz monitorowanie prób wyłączania procesów bezpieczeństwa.

Z perspektywy zarządzania tożsamością i dostępem niezbędne są ograniczanie przywilejów, rotacja poświadczeń uprzywilejowanych oraz aktywne wykrywanie użycia narzędzi do dumpowania poświadczeń. W środowiskach Windows warto dodatkowo monitorować uruchomienia procesów z nietypowo wysokimi uprawnieniami oraz zdarzenia wskazujące na nadużycie legalnych narzędzi do zdalnego dostępu.

W obszarze odporności operacyjnej podstawą pozostają segmentacja sieci, kopie zapasowe offline, testy odtwarzania oraz przygotowane procedury reagowania na incydenty obejmujące zarówno scenariusz szyfrowania danych, jak i ich wcześniejszej kradzieży. Plan reagowania powinien zakładać, że eksfiltracja mogła nastąpić jeszcze przed wykryciem ransomware.

Podsumowanie

Najnowsza aktywność Trigona potwierdza, że operatorzy ransomware stale rozwijają własne narzędzia w celu poprawy skuteczności ataków i ograniczenia szans na wykrycie. Autorskie utility do eksfiltracji danych, wsparte technikami wyłączania ochrony i kradzieży poświadczeń, zwiększa ryzyko dla organizacji korzystających wyłącznie z sygnaturowych lub opartych na reputacji metod detekcji.

Dla zespołów bezpieczeństwa oznacza to konieczność silniejszego nacisku na telemetrię behawioralną, kontrolę sterowników, ochronę poświadczeń oraz gotowość do obsługi incydentów typu double extortion. Trigona pokazuje, że nawet po wcześniejszych zakłóceniach działalności grupy ransomware mogą szybko wracać do gry z bardziej wyspecjalizowanym arsenałem.

Źródła

• BleepingComputer – Trigona ransomware attacks use custom exfiltration tool to steal data
• Symantec Enterprise Blog – Recent Trigona Ransomware Activity Uses a Custom Exfiltration Tool
• BleepingComputer – Trigona ransomware gang claims over 100 victims in first months
• BleepingComputer – Trigona ransomware gang servers hacked, source code leaked online