Cyberthreat.id – Peladen (server) Microsoft SQL diretas dan menyebarkan muatan ransomware "Trigona" untuk mengenkripsi semua file komputer korban.

Peladen diterobos melalui serangan brute-force atau menebak akses login dengan kamus kredensial yang dimiliki peretas, demikian temuan Pusat Tanggap Darurat Keamanan AhnLab dalam blog perusahaan, 17 April lalu.

AhnLab, perusahaan keamanan siber asal Korea Selatan, menyebut bahwa Trigona adalah ransomware yang relatif baru dan pertama kali ditemukan pada Oktober 2022. Menurut BleepingComputer, kemunculan pertama kali ransowmare itu diungkapkan oleh peneliti MalwareHunterTeam.

Menurut AhnLab, peladen yang terkena serangan, terutama yang memiliki kredensial akun sederhana dan dikelola dengan jelek. Setelah peretas terhubung dengan peladen,  mereka menyebarkan malware berjuluk "CLR Shell".

"Malware inilah yang digunakan untuk memanen informasi sistem, mengubah konfigurasi akun yang diretas, dan meningkatkan hak istimewa ke LocalSytem dengan mengeksploitasi di Windows Secondary Logon Service (yang diperlukan untuk merilis ransomware sebagai layanan sah)," tulis BleepingComputer.

CLR Shell adalah sejenis malware rakitan CLR yang menerima perintah dari peretas dan melakukan aksi berbahaya, serupa dengan webshell server web.

Pada tahap selanjutnya, penyerang menginstal dan meluncurkan malware "dropper" sebagai layanan svcservice.exe, yang digunakan untuk meluncurkan ransomware Trigona sebagai svchost.exe.

Peretas juga mengonfigurasi biner ransomware untuk diluncurkan secara otomatis pada setiap sistem di-restart melalui kunci autorun Windows untuk memastikan sistem akan dienkrips,i bahkan setelah reboot.

Sebelum mengenkripsi sistem dan menyebarkan catatan tebusan, malware menonaktifkan pemulihan sistem dan menghapus semua salinan Windows Volume Shadow, sehingga pemulihan (recovery) terhadap file yang dikunci tidak mungkin dilakukan tanpa kunci dekripsi.

Peretas ransomware Trigona diketahui hanya menerima pembayaran uang tebusan dalam mata uang kripto Monero dari korban di seluruh dunia.

Trigona mengenkripsi semua file di perangkat korban kecuali yang ada di folder tertentu, termasuk direktori Windows dan Program Files. Sebelum enkripsi, geng tersebut juga mengklaim mencuri dokumen sensitif yang akan ditambahkan ke situs kebocoran web gelapnya.

Selain itu, ransomware mengganti nama file yang dienkripsi dengan menambahkan ekstensi ._locked dan menyematkan kunci dekripsi terenkripsi, ID kampanye, dan ID korban (nama perusahaan) di setiap file yang terkunci.

Juga, menyertakan catatan tebusan bernama "how_to_decrypt.hta" di setiap folder dengan informasi tentang serangan, lalu tautan ke situsweb Trigona, dan tautan yang berisi kunci otorisasi yang diperlukan untuk masuk ke situs negosiasi.[]