{"id":278862,"date":"2023-03-21T00:10:00","date_gmt":"2023-03-20T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278862"},"modified":"2023-03-21T00:05:11","modified_gmt":"2023-03-20T23:05:11","slug":"palo-alto-network-warnung-vor-ransomware-stamm-trigona","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/21\/palo-alto-network-warnung-vor-ransomware-stamm-trigona\/","title":{"rendered":"Palo Alto Network-Warnung vor Ransomware-Stamm Trigona"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=29128\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von Palo Alto Networks sind Ende 2022 auf einen neuen Stamm an Ransomware gesto\u00dfen, der aktuell noch \"unter dem Radar\" vieler Sicherheitsforscher agiert. Im Dezember 2022 wurden aber mindestens 15 Opfer angegriffen. Hier einige Informationen zu dieser neuen Bedrohung.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/7adc0a4a163041249fa41d07c862d994\" alt=\"\" width=\"1\" height=\"1\" \/>Die Sicherheitsforscher von Unit 42 (Forschungsabteilung von Palo Alto Networks) warnen in einer aktuellen Mitteilung vor der Ransomware mit dem Namen Trigona. <a href=\"https:\/\/de.wikipedia.org\/wiki\/Trigona_(Gattung)\" target=\"_blank\" rel=\"noopener\">Trigona<\/a> ist einerseits der Name einer stachellosen Biene, die in S\u00fcdamerika vorkommt. Sicherheitsforscher des MalwareHunterTeams stie\u00dfen Ende Oktober 2022 auf die Malware und haben Ende November 2022 erstmals diesen Namen in nachfolgendem <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1587581807595249666\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> f\u00fcr eine neue Ransomware-Gruppe verwendet.<\/p>\n<p><a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1587581807595249666\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Trigona Ransomware\" src=\"https:\/\/i.imgur.com\/FX0Lddg.png\" alt=\"Trigona Ransomware\" \/><\/a><\/p>\n<p>Die Kollegen von Bleeping Computer hatten das Thema in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/trigona-ransomware-spotted-in-increasing-attacks-worldwide\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> aufgegriffen. Die Gruppe hatte seinerzeit eine neue Tor-Seite f\u00fcr Verhandlungen von Opfern unter diesem Namen eingerichtet. Das war seinerzeit eine Neuerung, da erste Infektionen Anfang 2022 noch eine Kommunikation per E-Mail erforderten und kein bestimmter Name f\u00fcr die Gruppierung verwendet wurde.<\/p>\n<p>Seit diesem Zeitpunkt verfolgen die Sicherheitsforscher der Palo Alto Network Unit 42 die Aktivit\u00e4ten dieser Gruppe. Laut deren war Trigona im Dezember 2022 sehr aktiv und hat in diesem Monat mindestens 15 potenzielle Opfer kompromittiert. Die betroffenen Unternehmen stammen laut Unit 42 aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher identifizierten zudem zwei neue Trigona-Erpresserf\u00e4lle im Januar 2023 und zwei im Februar 2023.<\/p>\n<p>Eine au\u00dfergew\u00f6hnliche Taktik von Trigona besteht darin, passwortgesch\u00fctzte ausf\u00fchrbare Dateien zur Verschleierung von Malware zu verwenden. Die Sicherheitsforscher von Unit 42 beobachteten, wie der Ransomware-Betreiber sich zun\u00e4chst Zugang zur Umgebung eines Ziels verschafft, um Erkundungen durchzuf\u00fchren. Anschlie\u00dfend kommt ein RMM-Tool (Remote Access and Management) namens Splashtop zum Einsatz. Dessen Ziel ist es, die Malware in die Zielumgebung zu \u00fcbertragen. Im Anschluss werden neuer Benutzerkonten erstellt, um die Operation schlie\u00dflich mit dem dem Einsatz der Ransomware abzuschlie\u00dfen.<\/p>\n<p>Bedrohungsforscher von Unit 42 vermuten, dass es sich bei der urspr\u00fcnglichen per Web erreichbaren \"Leak-Seite\" um eine Entwicklungsumgebung handelte, in der Funktionen der Ransomware getestet wurden, bevor eine m\u00f6gliche Verlagerung ins Dark Web erfolgte. Mehrere Beitr\u00e4ge auf der Seite scheinen Duplikate der BlackCat-Leak-Seite zu sein. Einige der Countdown-Timer laufen aber deutlich l\u00e4nger. Die Leak-Site ist im \u00f6ffentlichen Internet allerdings nicht mehr verf\u00fcgbar.<\/p>\n<p>Interessant ist, dass die Unit 42 auf Beispiele von Operationen im Zusammenhang mit Trigona gesto\u00dfen ist, die von einem kompromittierten Windows 2003-Server ausgingen. Von diesem kompromittierten Server wurden dann ein NetScan zur internen Erkundung des Netzwerks durchgef\u00fchrt. Die Angreifer missbrauchen oft legitime Produkte f\u00fcr b\u00f6swillige Zwecke, nutzen sie aus oder unterwandern sie. Dies bedeutet nicht zwangsl\u00e4ufig, dass ein Fehler oder eine b\u00f6sartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.<\/p>\n<p>Trigona scheint derzeit unter dem Radar aktiv zu sein. Dieser Mangel an Bewusstsein in der Sicherheitscommunity erm\u00f6glicht es, die Opfer unauff\u00e4llig anzugreifen, w\u00e4hrend andere Ransomware-Operationen mit gr\u00f6\u00dferem Bekanntheitsgrad die Schlagzeilen beherrschen. Palo Alto Networks hofft, dass die Aufkl\u00e4rung \u00fcber Trigona und seine ungew\u00f6hnliche Technik, passwortgesch\u00fctzte ausf\u00fchrbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu sch\u00fctzen.<\/p>\n<p>Aufgrund der zahlreichen Opfer, die Unit 42 identifiziert hat, und der sich derzeit entwickelnden Leak-Site von Trigona werden der Betreiber und\/oder die Partner hinter der Ransomware ihre kriminellen Aktivit\u00e4ten wahrscheinlich fortsetzen \u2013 und m\u00f6glicherweise sogar noch verst\u00e4rken. Details zur Trigona-Ransomware bzw. -Gruppe finden sich im Beitrag <a href=\"https:\/\/unit42.paloaltonetworks.com\/trigona-ransomware-update\/\" target=\"_blank\" rel=\"noopener\">Bee-Ware of Trigona, An Emerging Ransomware Strain<\/a> von Palo Alto.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Palo Alto Networks sind Ende 2022 auf einen neuen Stamm an Ransomware gesto\u00dfen, der aktuell noch \"unter dem Radar\" vieler Sicherheitsforscher agiert. Im Dezember 2022 wurden aber mindestens 15 Opfer angegriffen. Hier einige Informationen zu dieser neuen Bedrohung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-278862","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278862","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278862"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278862\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278862"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278862"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278862"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}