Gli attori delle minacce starebbero violando server Microsoft SQL scarsamente protetti ed esposti per distribuire il ransomware Trigona. Questo è quanto si legge nel rapporto pubblicato dalla società di sicurezza informatica AhnLab.
Trigona è un ceppo ransomware scritto in linguaggio Delphi, che crittografa tutti i file senza distinzione e aggiungendo l’estensione “._locked” al nome dei file cifrati.
Secondo la catena d’infezione rilevata da AhnLab gli attori malevoli lancerebbero attacchi di forza bruta o di dizionario contro il server nel tentativo di indovinare le credenziali d’accesso e una volta ottenuto distribuiscono un malware di prima fase tracciato come CLR Shell.
CLR Shell consentirebbe così agli operatori di raccogliere informazioni di sistema e aumentare i privilegi richiesti da Trigona, sfruttando la vulnerabilità Windows MS16-032, per poi installare il payload ransomware vero e proprio.
Trigona una volta installato:
- mantiene la persistenza,
- elimina le copie shadow del volume,
- disabilita la funzione di ripristino del sistema per impedire alle vittime di recuperare i file crittografati,
- crea note di riscatto denominate “how_to_decrypt.hta” in ogni cartella, con le istruzioni per contattare gli operatori di Trigona.
Come confermato da AhnLab per proteggere i server da attacchi di forza bruta e a dizionario, gli amministratori dovrebbero utilizzare password forti, modificarle periodicamente e utilizzare i firewall per i server esposti allo scopo di limitare minacce esterne.