Server Microsoft SQL esposti presi di mira dal ransomware Trigona

Gli attori delle minacce starebbero violando server Microsoft SQL scarsamente protetti ed esposti per distribuire il ransomware Trigona. Questo è quanto si legge nel rapporto pubblicato dalla società di sicurezza informatica AhnLab.

Trigona è un ceppo ransomware scritto in linguaggio Delphi, che crittografa tutti i file senza distinzione e aggiungendo l’estensione “._locked” al nome dei file cifrati.

Secondo la catena d’infezione rilevata da AhnLab gli attori malevoli lancerebbero attacchi di forza bruta o di dizionario contro il server nel tentativo di indovinare le credenziali d’accesso e una volta ottenuto distribuiscono un malware di prima fase tracciato come CLR Shell.

CLR Shell consentirebbe così agli operatori di raccogliere informazioni di sistema e aumentare i privilegi richiesti da Trigona, sfruttando la vulnerabilità Windows MS16-032, per poi installare il payload ransomware vero e proprio.

Trigona una volta installato:

  • mantiene la persistenza,
  • elimina le copie shadow del volume,
  • disabilita la funzione di ripristino del sistema per impedire alle vittime di recuperare i file crittografati,
  • crea note di riscatto denominate “how_to_decrypt.hta” in ogni cartella, con le istruzioni per contattare gli operatori di Trigona.

Come confermato da AhnLab per proteggere i server da attacchi di forza bruta e a dizionario, gli amministratori dovrebbero utilizzare password forti, modificarle periodicamente e utilizzare i firewall per i server esposti allo scopo di limitare minacce esterne.