Wprowadzenie do problemu / definicja
Grupa powiązana z ransomware Trigona zaczęła wykorzystywać autorskie narzędzie wiersza poleceń do kradzieży danych z zaatakowanych środowisk. Tego typu zmiana wpisuje się w szerszy trend obserwowany w ekosystemie ransomware, w którym operatorzy odchodzą od publicznie dostępnych utility eksfiltracyjnych na rzecz własnych komponentów zapewniających większą kontrolę operacyjną, wyższą wydajność transferu oraz niższą wykrywalność.
W skrócie
Trigona zastępuje popularne narzędzia do eksfiltracji, takie jak Rclone czy MegaSync, własnym programem określanym jako uploader_client.exe. Narzędzie ma przyspieszać wyprowadzanie danych, korzystać z wielu równoległych połączeń i rotować sesje TCP, co może utrudniać wykrycie anomalii sieciowych.
- W kampaniach odnotowanych w marcu 2026 roku atakujący selekcjonowali wartościowe pliki.
- Przed eksfiltracją wyłączali mechanizmy ochronne przy użyciu wyspecjalizowanych utility.
- Uzyskiwali poświadczenia jeszcze przed uruchomieniem fazy szyfrowania lub szantażu opartego na wycieku danych.
Kontekst / historia
Trigona jest aktywna co najmniej od końca 2022 roku i funkcjonuje w modelu Ransomware-as-a-Service. Taki model pozwala operatorom udostępniać zaplecze techniczne afiliantom prowadzącym faktyczne włamania.
Dotychczas wiele grup ransomware opierało eksfiltrację na szeroko znanych narzędziach administracyjnych lub synchronizacyjnych, które są łatwe we wdrożeniu, ale jednocześnie coraz częściej objęte regułami detekcji w rozwiązaniach EDR, XDR i SIEM.
Obserwowana zmiana taktyki sugeruje, że operatorzy Trigona inwestują w rozwój własnych narzędzi ofensywnych. To istotny krok, ponieważ autorskie komponenty zmniejszają zależność od publicznych binariów, ograniczają skuteczność detekcji opartych na sygnaturach i pozwalają lepiej dopasować działanie malware do konkretnych celów operacyjnych.
Analiza techniczna
Według opisu incydentów własne narzędzie Trigona komunikuje się z serwerem kontrolowanym przez atakujących i zostało zaprojektowane pod kątem wydajnej eksfiltracji danych. Program domyślnie wykorzystuje kilka równoległych połączeń dla pojedynczego pliku, co umożliwia maksymalizację przepustowości i skrócenie czasu transferu.
Istotnym elementem jest także rotacja połączeń TCP po przesłaniu określonej ilości danych. Taka technika może ograniczać skuteczność mechanizmów monitorowania, które wykrywają długotrwałe, wysokowolumenowe transmisje do jednego adresu IP. Zamiast pojedynczej, łatwo zauważalnej sesji powstaje sekwencja krótszych połączeń, które w niektórych środowiskach mogą zlewać się z normalnym ruchem.
Narzędzie ma również wspierać filtrowanie danych, dzięki czemu operatorzy mogą pomijać pliki o dużym rozmiarze i niskiej wartości biznesowej, a koncentrować się na dokumentach, fakturach, plikach PDF oraz danych znajdujących się na zasobach sieciowych. To wskazuje na ukierunkowaną eksfiltrację, której celem jest maksymalizacja presji w scenariuszu podwójnego wymuszenia.
Przed etapem wyprowadzania danych atakujący stosowali zestaw utility służących do dezaktywacji zabezpieczeń oraz podniesienia uprawnień. W opisywanych przypadkach wykorzystywano między innymi HRSword, PCHunter, GMER i PowerRun. Część takich narzędzi może nadużywać podatnych sterowników jądra do wyłączania lub omijania mechanizmów ochronnych.
Dodatkowo do zdalnego dostępu używano AnyDesk, natomiast do pozyskiwania poświadczeń narzędzi takich jak Mimikatz oraz utility odzyskujących hasła zapisane w aplikacjach i przeglądarkach. Z technicznego punktu widzenia kampania wpisuje się w klasyczny łańcuch ataku ransomware: uzyskanie dostępu, eskalacja uprawnień, obniżenie poziomu ochrony, kradzież poświadczeń, rozpoznanie zasobów, eksfiltracja danych i dopiero potem finalny etap wymuszenia.
Konsekwencje / ryzyko
Najważniejszym skutkiem tej zmiany jest spadek skuteczności detekcji opartych wyłącznie na znanych wskaźnikach kompromitacji lub listach zablokowanych narzędzi. Organizacje, które wykrywają eksfiltrację głównie przez obecność Rclone, MegaSync lub podobnych utility, mogą nie zauważyć nowego wektora działania.
Ryzyko rośnie także z powodu większej wydajności transferu. Szybsza eksfiltracja oznacza, że atakujący mogą wyprowadzić duże wolumeny danych jeszcze przed zadziałaniem zespołu SOC, automatycznych playbooków lub procesu izolacji hosta. Selekcja cennych plików dodatkowo zwiększa wartość skradzionych informacji i wzmacnia presję finansową na ofiarę.
Z punktu widzenia biznesowego konsekwencje obejmują wyciek dokumentów poufnych, danych kontraktowych, informacji finansowych oraz materiałów wykorzystywanych później do szantażu, dalszych oszustw lub ataków na partnerów. Jeżeli przed eksfiltracją dochodzi do przejęcia kont i wyłączenia ochrony endpointów, incydent może objąć większą część środowiska i utrudnić analizę śledczą.
Rekomendacje
Organizacje powinny rozszerzyć wykrywanie eksfiltracji poza listę znanych narzędzi i skupić się na zachowaniach. Kluczowe jest monitorowanie nietypowych transferów wychodzących, wielu równoległych połączeń do nieznanych hostów, rotacji sesji TCP oraz nagłych wzrostów ruchu z serwerów plików i stacji administracyjnych.
Należy wdrożyć twarde kontrole dla narzędzi do zdalnego dostępu oraz ograniczyć możliwość uruchamiania nieautoryzowanych utility administracyjnych. W praktyce oznacza to stosowanie allowlistingu aplikacji, kontroli sterowników, blokowania podatnych sterowników jądra oraz monitorowania prób wyłączania usług ochronnych.
W obszarze tożsamości niezbędne jest wymuszanie MFA, rotacja kont uprzywilejowanych, monitorowanie dumpingu poświadczeń oraz ograniczenie lokalnych uprawnień administracyjnych. Warto również analizować użycie narzędzi klasy credential dumping i przeglądać artefakty wskazujące na odzyskiwanie haseł z przeglądarek i aplikacji.
Dobre praktyki obejmują także segmentację sieci, odseparowanie krytycznych zasobów plikowych, rejestrowanie dostępu do udziałów SMB oraz korelację zdarzeń EDR z telemetrią sieciową. Kopie zapasowe pozostają istotne, ale w scenariuszu podwójnego wymuszenia nie rozwiązują problemu wycieku danych, dlatego równie ważne są klasyfikacja informacji, DLP oraz procedury reagowania na naruszenia poufności.
Podsumowanie
Przypadek Trigona pokazuje, że operatorzy ransomware coraz częściej rozwijają własne narzędzia, aby zwiększyć skuteczność eksfiltracji i ograniczyć wykrywalność. Własny uploader, równoległe połączenia, rotacja sesji oraz selekcja wartościowych plików tworzą bardziej dojrzały i trudniejszy do zauważenia model działania.
Dla zespołów bezpieczeństwa oznacza to konieczność przejścia z detekcji opartej na nazwach narzędzi do analizy zachowań, telemetrii sieciowej i prób wyłączania zabezpieczeń. To właśnie zdolność do wykrywania całego łańcucha ataku, a nie pojedynczego binarium, staje się kluczowa w obronie przed nowoczesnym ransomware.
Źródła
- Security Affairs — Trigona ransomware adopts custom tool to steal data and evade detection — https://securityaffairs.com/191294/cyber-crime/trigona-ransomware-adopts-custom-tool-to-steal-data-and-evade-detection.html