Der Sicherheitsanbieter AhnLab weist darauf hin, dass derzeit eine Hacking-Kampagne gegen schlecht gesicherte und über das Internet erreichbare Microsoft-SQL-Server läuft. Die Server werden per Brute-Force-Angriff oder mit Wörterbuch-Attacken kompromittiert, um die Ransomware Trigona einzuschleusen, wie BleepingComputer berichtet.
Ein kompromittiertes Konto nutzen die Cyberkriminellen, um in einem ersten Schritt eine Malware namens CLR Shell einzuschleusen. Sie soll Systeminformationen sammeln. Außerdem wird sie benutzt, um die Konfiguration des gehackten Kontos zu ändern. Darüber hinaus nutzen die Angreifer eine bekannte Schwachstelle im Windows Secondary Logon Service, um Rechte des LocalSystem zu erlagen.
Die höheren Rechte benötigen die Hacker dem Bericht zufolge, um eine Dropper-Malware zu installieren und zu starten, die als der Dienst svcservice.exe ausgeführt wird. Über diesen Dienst wird schließlich die Trigona-Ransomware als svchost.exe gestartet.
Die Ransomware wiederum wird so konfiguriert, dass sie bei jedem Neustart von Windows automatisch gestartet wird. So wollen die Angreifer sicherstellen, dass ein Neustart des Systems die Verschlüsselung nicht unterbindet. Um einen möglichst großen Schaden anzurichten, ist Trigona in der Lage, die Systemwiederherstellung abzuschalten und jegliche Volume-Schattenkopien zu löschen.
Erstmals wurde die Trigona-Ransomware im Oktober 2022 entdeckt. Sie verschlüsselt mit Ausnahme bestimmter Ordner wie Windows und Programme alle Dateien eines Opfers. Zudem kopieren die Hintermänner die unverschlüsselten Daten und drohen mit einer Veröffentlichung auf ihrer Leak-Website im Darknet.
Jeder Ordner mit verschlüsselten Daten enthält außerdem eine Lösegeldforderung. Dieses ist in der Kryptowährung Monero zu zahlen. Ein Link in der Lösegeldforderung führt Opfer zu einer Website im Tor-Netzwerk, über die sie mit den Erpressern in Kontakt treten können. Laut ID Ransomware soll Trigona allein in diesem Jahr für weltweit 190 Angriffe verantwortlich sein.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…