Ransomware Trinity nổi bật với phương pháp lấy dữ liệu trước khi mã hóa, đe dọa sẽ rò rỉ thông tin đã đánh cắp trừ khi tiền chuộc được trả. Kỹ thuật này đặc biệt đáng báo động do khả năng gây ra sự gián đoạn đáng kể bằng cách nhắm vào dữ liệu quan trọng. Các nhà nghiên cứu đã lưu ý rằng Trinity sử dụng một trang web hỗ trợ cho phép nạn nhân tải lên các tập tin nhỏ hơn 2MB để giải mã. Mặc dù trang web rò rỉ liên quan hiện không hoạt động, sự hiện diện của nó đã tạo ra một mối đe dọa đáng kể đối với các tổ chức nạn nhân.
Phân tích kỹ thuật của Trinity tiết lộ một quá trình tấn công phức tạp. Nó bao gồm một kiểm tra nghiêm ngặt cho một ghi chú chuộc trong tệp nhị phân của nó, kết thúc ngay lập tức nếu ghi chú không có sẵn. Phần mềm độc hại này thu thập thông tin hệ thống một cách tỉ mỉ, chuẩn bị cho một quá trình mã hóa đa luồng. Hơn nữa, nó sử dụng các chiến thuật nâng cao đặc quyền bằng cách giả mạo token của các quy trình hợp pháp, cho phép nó hiệu quả né tránh các biện pháp bảo mật.
Trinity sử dụng thuật toán mã hóa ChaCha20 để khóa các tập tin của nạn nhân, thêm “.trinitylock” vào tên tập tin. Các ghi chú chuộc được tạo ra ở cả định dạng văn bản và .hta, và nó thậm chí còn thay đổi hình nền máy tính để hiển thị ghi chú chuộc, làm tăng thêm sự hăm dọa đối với nạn nhân.
Sự tương đồng của ransomware này với các chủng ransomware Venus và 2023Lock đặc biệt đáng chú ý. Những điểm tương đồng này bao gồm các ghi chú chuộc giống hệt nhau và sử dụng registry, cho thấy không chỉ kỹ thuật chia sẻ mà có thể còn là sự hợp tác sâu hơn. Những sự hợp tác như vậy có thể dẫn đến các cuộc tấn công ransomware tiên tiến và kiên cường hơn trong tương lai, tận dụng các nguồn lực và kiến thức chung.
Sự xuất hiện của Trinity nhấn mạnh nhu cầu về các biện pháp bảo mật mạnh mẽ. Các tổ chức được khuyên nên luôn cảnh giác và chủ động cập nhật các giao thức bảo mật của họ để chống lại những mối đe dọa ransomware đang phát triển này. Khi các kỹ thuật ransomware trở nên tinh vi hơn, tầm quan trọng của các chiến lược và hệ thống bảo mật toàn diện không thể được nhấn mạnh quá mức trong việc bảo vệ chống lại sự vi phạm dữ liệu và tổn thất tài chính.
Source: The Cyber Express
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.