Un ransomware que previamente no tenía nombre conocido, ha cambiado su nombre a la denominación de Trigona, lanzando un nuevo sitio de negociación Tor en el que se acepta Monero como pagos de rescate.
Ransomware AXLocker está robando infinidad de cuentas de Discord
Trigona ha estado activa durante bastante tiempo, al menos desde principios de año. Sin embargo, en esas detecciones se utilizaba el correo electrónico para la realización de las negociaciones.
Desde finales de octubre de 2022, la operación de ransomware lanzó un nuevo sitio de negociación creado en Tor donde se autodenominan oficialmente Trigona.
Trigona es el nombre de una familia de grandes abejas sin aguijón, la operación de ransomware ha adoptado un logotipo que muestra a una persona con un disfraz de abeja cibernética, como se puede contemplar en nuestra portada.
El ransomware Trigona
Reconocidos sitios web de análisis de virus, han analizado el interior de Trigona y descubierto que admite varios argumentos de línea de comandos que determinan si los archivos locales o de red están encriptados, si se agrega una clave de ejecución automática de Windows o si se debe usar una identificación de víctima de prueba (VID) o una identificación de campaña (CID).
Los argumentos de la línea de comando que maneja el ransomware, se enumeran a continuación:
/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only
Al cifrar los archivos, Trigona cifra todos los archivos de un dispositivo excepto aquellos que están en unas carpetas específicas, como las carpetas de Windows o los archivos de programa.
Además, el ransomware cambia el nombre de todos los archivos cifrados, agregándoles la extensión ._locked.
Por ejemplo, el archivo texto.doc se cifraría y cambiaría al nombre de texto.doc._locked, como se muestra a continuación.
El ransomware también incrusta la clave de descifrado cifrada, la identificación de la campaña y la identificación de la víctima (nombre de la empresa) en los archivos cifrados.
Además, se crea una nota de rescate llamada how_to_decrypt.hta en cada carpeta escaneada. Esa nota muestra información sobre el ataque, un enlace al sitio de negociación de Tor y un enlace que copia una clave de autorización en el portapapeles de Windows necesaria para iniciar sesión en el sitio de negociación de Tor.
Después de iniciar sesión en el sitio Tor, a la víctima se le muestra información sobre cómo comprar la criptomoneda de Monero con la que se exige, se pague un rescate y también se incluye un chat de soporte que se puede usar para negociar con los propios atacantes.
El sitio web de Trigona también ofrece la posibilidad de descifrar cinco archivos de forma gratuita, de hasta 5 MB cada uno.
Cuando se paga un rescate, las víctimas reciben un enlace a un descifrador y un archivo keys.dat que contiene la clave de descifrado privada.
El descifrador permite descifrar archivos o carpetas individuales en el dispositivo local y recursos compartidos de red.
No está claro cómo la operación viola las redes e implementa el ransomware.
Los ataques de Trigona han ido en aumento en todo el mundo y con la inversión en una plataforma Tor dedicada, es probable que continúen expandiendo sus operaciones.