Trigona rozwija własne narzędzie do eksfiltracji danych i wzmacnia model podwójnego wymuszenia - Security Bez Tabu

Trigona rozwija własne narzędzie do eksfiltracji danych i wzmacnia model podwójnego wymuszenia

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa ransomware Trigona ponownie zwróciła uwagę analityków bezpieczeństwa, tym razem przez wykorzystanie autorskiego narzędzia do eksfiltracji danych. To istotna zmiana, ponieważ atakujący nie ograniczają się już wyłącznie do szyfrowania systemów, ale coraz skuteczniej kradną dane przed uruchomieniem właściwego etapu wymuszenia.

W praktyce oznacza to rozwój modelu double extortion, w którym ofiara jest pod presją nie tylko z powodu niedostępności systemów, lecz także ryzyka ujawnienia lub sprzedaży poufnych dokumentów. Własne narzędzie transferowe pomaga przestępcom ograniczyć wykrywalność i zwiększyć tempo działania.

W skrócie

  • Trigona używa własnego programu wiersza poleceń do wyprowadzania danych z przejętych środowisk.
  • Narzędzie obsługuje równoległy transfer plików i rotację połączeń TCP po określonym wolumenie danych.
  • Atakujący selektywnie wybierają pliki o wysokiej wartości biznesowej, takie jak dokumenty PDF i faktury.
  • Takie podejście utrudnia wykrywanie oparte wyłącznie na znanych narzędziach i sygnaturach.

Kontekst / historia

Trigona funkcjonuje jako operacja ransomware od października 2022 roku i od początku była kojarzona z taktyką podwójnego wymuszenia. Model ten łączy szyfrowanie zasobów z wcześniejszą kradzieżą danych, co znacząco zwiększa presję wywieraną na ofiarę podczas negocjacji.

Choć infrastruktura grupy była wcześniej zakłócana i częściowo ujawniona, obecne obserwacje wskazują na wznowienie aktywności oraz dostosowanie technik do współczesnych mechanizmów detekcji. Jest to spójne z szerszym trendem w ekosystemie ransomware, gdzie operatorzy coraz częściej porzucają szeroko znane narzędzia na rzecz komponentów własnych lub mniej popularnych.

Analiza techniczna

W analizowanych incydentach wykorzystywano plik „uploader_client.exe”, który łączy się z adresem serwera zapisanym na stałe w konfiguracji. To wskazuje, że nie był to przypadkowy komponent pomocniczy, lecz celowo przygotowane narzędzie przeznaczone do etapu eksfiltracji.

Z dostępnych obserwacji wynika, że program umożliwia jednoczesne utrzymywanie pięciu połączeń dla pojedynczego pliku. Takie podejście zwiększa szybkość przesyłania danych i skraca czas potrzebny na wyniesienie najcenniejszych dokumentów z naruszonego środowiska.

Dodatkowo po przesłaniu około 2 GB danych narzędzie rotuje połączenia TCP. Z perspektywy obrony może to utrudniać korelację aktywności sieciowej, analizę długich sesji oraz identyfikację nietypowych wzorców transferu.

Istotnym elementem jest również selektywny dobór typów plików. Zamiast masowo kopiować wszystkie dane, operatorzy mogą koncentrować się na zasobach o najwyższej wartości biznesowej, pomijając duże i mniej przydatne pliki multimedialne. To poprawia efektywność ataku i zmniejsza jego widoczność.

Opisane kampanie wskazują także na użycie dodatkowych narzędzi wspierających pełen łańcuch kompromitacji. W obserwowanych przypadkach pojawiały się komponenty umożliwiające ładowanie sterowników jądra, osłabianie ochrony systemowej oraz wykorzystywanie schematu BYOVD, czyli Bring Your Own Vulnerable Driver, do wyłączania procesów bezpieczeństwa.

Atakujący korzystali ponadto z narzędzi zdalnego dostępu i utility służących do kradzieży poświadczeń. Taki zestaw potwierdza, że eksfiltracja nie jest działaniem odosobnionym, lecz częścią dojrzałej operacji obejmującej eskalację uprawnień, utrzymanie dostępu, obchodzenie zabezpieczeń i końcowe szyfrowanie danych.

Konsekwencje / ryzyko

Największe zagrożenie wynika z faktu, że autorskie narzędzia eksfiltracyjne mogą łatwiej omijać reguły detekcyjne budowane wokół popularnych utility i znanych wskaźników kompromitacji. W rezultacie organizacja może nie zauważyć kradzieży danych aż do momentu uruchomienia ransomware lub publikacji informacji przez napastników.

  • szybsza utrata danych przed etapem szyfrowania,
  • większe ryzyko pominięcia ataku przez tradycyjne mechanizmy bezpieczeństwa,
  • wyciek dokumentów finansowych, prawnych i operacyjnych,
  • silniejsza presja negocjacyjna związana z groźbą ujawnienia danych,
  • wzrost kosztów reagowania, przestojów oraz ryzyka regulacyjnego.

Szczególnie niebezpieczne jest połączenie eksfiltracji z technikami wyłączania ochrony endpointów. Jeśli atakujący skutecznie osłabią EDR lub inne mechanizmy monitorujące, czas na wykrycie incydentu i podjęcie reakcji znacząco się skraca.

Rekomendacje

Organizacje powinny traktować ochronę przed eksfiltracją danych jako priorytet równy ochronie przed szyfrowaniem. W nowoczesnych kampaniach ransomware to właśnie etap kradzieży informacji coraz częściej decyduje o skali szkód i sile szantażu.

  • Monitorować ruch wychodzący z serwerów plików, systemów finansowych i innych zasobów przechowujących dane wrażliwe.
  • Budować detekcję opartą na zachowaniach, a nie wyłącznie na nazwach procesów, haszach i reputacji plików.
  • Ograniczyć możliwość ładowania nieautoryzowanych sterowników i monitorować próby nadużyć BYOVD.
  • Wzmocnić kontrolę kont uprzywilejowanych, segmentację środowiska oraz wieloskładnikowe uwierzytelnianie.
  • Inwentaryzować i nadzorować narzędzia zdalnej administracji oraz reagować na ich nieautoryzowane użycie.
  • Chronić poświadczenia poprzez monitorowanie dumpingu pamięci i działań związanych z odzyskiwaniem haseł.
  • Przygotować procedury szybkiej izolacji hostów, blokady ruchu wychodzącego i zabezpieczenia materiału dowodowego.

Podsumowanie

Najnowsza aktywność Trigony pokazuje, że operatorzy ransomware coraz wyraźniej inwestują we własne komponenty ofensywne, szczególnie tam, gdzie mogą ograniczyć wykrywalność i skrócić czas działania. Autorskie narzędzie do eksfiltracji danych wzmacnia skuteczność modelu podwójnego wymuszenia i zwiększa ryzyko dla organizacji przechowujących wartościowe informacje biznesowe.

Dla zespołów bezpieczeństwa to sygnał, że klasyczne podejście oparte głównie na znanych wskaźnikach kompromitacji przestaje być wystarczające. Kluczowe stają się analiza zachowań, monitorowanie ruchu wychodzącego, ochrona przed nadużyciem sterowników oraz szybka reakcja na symptomy kradzieży danych.

Źródła

  1. BleepingComputer — Trigona ransomware attacks use custom exfiltration tool to steal data — https://www.bleepingcomputer.com/news/security/trigona-ransomware-attacks-use-custom-exfiltration-tool-to-steal-data/
  2. Symantec Threat Hunter Team — Trigona Ransomware Uses Custom Tool for Data Exfiltration — https://security.com/threat-intelligence/trigona-ransomware-data-exfiltration