Il ransomware Trinity si distingue per il suo metodo di esfiltrazione dei dati prima di criptarli, minacciando di divulgare le informazioni rubate a meno che non venga pagato il riscatto. Questa tecnica è particolarmente allarmante a causa del suo potenziale di causare significative interruzioni, prendendo di mira dati critici. I ricercatori hanno notato che Trinity utilizza un sito di supporto che permette alle vittime di caricare file di dimensioni inferiori a 2MB per la decrittazione. Anche se il sito associato alle fughe di informazioni è attualmente inattivo, la sola presenza di esso rappresenta una notevole minaccia per le organizzazioni vittime.
L’analisi tecnica di Trinity rivela un processo di attacco complesso. Include un rigoroso controllo per un messaggio di riscatto all’interno del suo file binario, terminando immediatamente se il messaggio non è disponibile. Il ransomware raccoglie meticolosamente le informazioni di sistema, preparandosi per un processo di criptazione multi-thread. Inoltre, impiega tattiche di escalation dei privilegi impersonando token di processi legittimi, permettendogli di eludere efficacemente le misure di sicurezza.
Trinity utilizza l’algoritmo di criptazione ChaCha20 per bloccare i file delle vittime, aggiungendo l’estensione “.trinitylock” ai nomi dei file. I messaggi di riscatto sono creati sia in formato testo che .hta, e modifica anche lo sfondo del desktop per visualizzare il messaggio di riscatto, intimidendo ulteriormente la vittima.
Le somiglianze di questo ransomware con le varianti Venus e 2023Lock sono particolarmente degne di nota. Queste somiglianze includono messaggi di riscatto identici e l’uso del registro di sistema, suggerendo non solo tecniche condivise ma potenzialmente una collaborazione più profonda. Tali collaborazioni potrebbero portare a attacchi di ransomware più avanzati e resilienti in futuro, sfruttando risorse e conoscenze condivise.
L’emergere di Trinity sottolinea la necessità di misure di cybersecurity robuste. Si consiglia alle organizzazioni di rimanere vigili e proattive nell’aggiornare i loro protocolli di sicurezza per difendersi da queste minacce ransomware in evoluzione. Man mano che le tecniche di ransomware diventano più sofisticate, l’importanza di strategie e sistemi di sicurezza completi non può essere sopravvalutata per proteggere da violazioni dei dati e perdite finanziarie.
Source: The Cyber Express
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.