Trigona: Hacker greifen Microsoft-SQL-Server mit Ransomware an

Der Sicherheitsanbieter AhnLab weist darauf hin, dass derzeit eine Hacking-Kampagne gegen schlecht gesicherte und über das Internet erreichbare Microsoft-SQL-Server läuft. Die Server werden per Brute-Force-Angriff oder mit Wörterbuch-Attacken kompromittiert, um die Ransomware Trigona einzuschleusen, wie BleepingComputer berichtet.

Ein kompromittiertes Konto nutzen die Cyberkriminellen, um in einem ersten Schritt eine Malware namens CLR Shell einzuschleusen. Sie soll Systeminformationen sammeln. Außerdem wird sie benutzt, um die Konfiguration des gehackten Kontos zu ändern. Darüber hinaus nutzen die Angreifer eine bekannte Schwachstelle im Windows Secondary Logon Service, um Rechte des LocalSystem zu erlagen.

Trigona schaltet Systemwiederherstellung ab

Die höheren Rechte benötigen die Hacker dem Bericht zufolge, um eine Dropper-Malware zu installieren und zu starten, die als der Dienst svcservice.exe ausgeführt wird. Über diesen Dienst wird schließlich die Trigona-Ransomware als svchost.exe gestartet.

Die Ransomware wiederum wird so konfiguriert, dass sie bei jedem Neustart von Windows automatisch gestartet wird. So wollen die Angreifer sicherstellen, dass ein Neustart des Systems die Verschlüsselung nicht unterbindet. Um einen möglichst großen Schaden anzurichten, ist Trigona in der Lage, die Systemwiederherstellung abzuschalten und jegliche Volume-Schattenkopien zu löschen.

Erstmals wurde die Trigona-Ransomware im Oktober 2022 entdeckt. Sie verschlüsselt mit Ausnahme bestimmter Ordner wie Windows und Programme alle Dateien eines Opfers. Zudem kopieren die Hintermänner die unverschlüsselten Daten und drohen mit einer Veröffentlichung auf ihrer Leak-Website im Darknet.

Jeder Ordner mit verschlüsselten Daten enthält außerdem eine Lösegeldforderung. Dieses ist in der Kryptowährung Monero zu zahlen. Ein Link in der Lösegeldforderung führt Opfer zu einer Website im Tor-Netzwerk, über die sie mit den Erpressern in Kontakt treten können. Laut ID Ransomware soll Trigona allein in diesem Jahr für weltweit 190 Angriffe verantwortlich sein.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

13 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago