Рэнсомвэр Trinity отличается методом эксфильтрации данных до их шифрования, угрожая раскрыть украденную информацию, если выкуп не будет уплачен. Эта техника особенно тревожна из-за её потенциала вызвать значительные нарушения, целясь в критически важные данные. Исследователи отметили, что Trinity использует сайт поддержки, который позволяет жертвам загружать файлы размером менее 2 МБ для дешифровки. Хотя связанный сайт утечек в настоящее время неактивен, его само присутствие представляет значительную угрозу для организаций-жертв.
Технический анализ Trinity раскрывает сложный процесс атаки. Он включает тщательную проверку наличия заметки о выкупе в его двоичном файле, который немедленно завершает работу, если заметка отсутствует. Рэнсомвэр тщательно собирает информацию о системе, готовясь к процессу многопоточного шифрования. Кроме того, он использует тактики эскалации привилегий, имитируя токены легитимных процессов, что позволяет ему эффективно обходить меры безопасности.
Trinity использует алгоритм шифрования ChaCha20 для блокировки файлов жертв, добавляя “.trinitylock” к именам файлов. Заметки о выкупе создаются как в текстовом, так и в формате .hta, при этом также изменяется обои рабочего стола для отображения заметки о выкупе, что дополнительно устрашает жертву.
Особенно примечательны сходства этого рэнсомвэра с штаммами рэнсомвэра Venus и 2023Lock. Эти сходства включают идентичные заметки о выкупе и использование реестра, что предполагает не только общие техники, но и потенциально более глубокое сотрудничество. Такие сотрудничества могут привести к более продвинутым и устойчивым атакам рэнсомвэра в будущем, используя общие ресурсы и знания.
Появление Trinity подчеркивает необходимость надежных мер кибербезопасности. Организациям рекомендуется оставаться бдительными и проактивными в обновлении своих протоколов безопасности для защиты от этих развивающихся угроз рэнсомвэра. По мере того как техники рэнсомвэра становятся более сложными, важность комплексных стратегий и систем безопасности не может быть переоценена для защиты от нарушений данных и финансовых потерь.
Source: The Cyber Express
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.