El ransomware Trinity es distingeix pel seu mètode d’exfiltració de dades abans de xifrar-les, amenaçant amb filtrar la informació robada a menys que es pagui el rescat. Aquesta tècnica és particularment alarmant a causa del seu potencial per causar interrupcions significatives al dirigir-se a dades crítiques. Els investigadors han assenyalat que Trinity utilitza un lloc de suport que permet a les víctimes pujar arxius menors de 2 MB per a la seva desxifració. Encara que el lloc associat de filtracions està actualment inactiu, la mera presència d’aquest representa una amenaça considerable per a les organitzacions víctimes.
L’anàlisi tècnica de Trinity revela un procés d’atac intrincat. Inclou una comprovació rigorosa d’una nota de rescat dins del seu arxiu binari, finalitzant immediatament si la nota no està disponible. El ransomware recull meticulosament informació del sistema, preparant-se per a un procés de xifratge multi-fil. A més, emprega tàctiques d’escalada de privilegis impersonant tokens de processos legítims, permetent-li evadir mesures de seguretat de manera efectiva.
Trinity utilitza l’algorisme de xifratge ChaCha20 per bloquejar els arxius de les víctimes, afegint “.trinitylock” als noms dels arxius. Les notes de rescat es creen tant en formats de text com .hta, i fins i tot modifica el fons de pantalla per mostrar la nota de rescat, intimidant encara més la víctima.
Les similituds d’aquest ransomware amb les variants de ransomware Venus i 2023Lock són particularment notables. Aquestes similituds inclouen notes de rescat idèntiques i ús del registre, suggerint no només tècniques compartides sinó potencialment una col·laboració més profunda. Aquestes col·laboracions podrien conduir a atacs de ransomware més avançats i resistents en el futur, aprofitant recursos i coneixements compartits.
L’aparició de Trinity subratlla la necessitat de mesures robustes de ciberseguretat. Es recomana a les organitzacions que romanguin vigilants i proactives en l’actualització dels seus protocols de seguretat per defensar-se d’aquestes amenaces de ransomware en evolució. A mesura que les tècniques de ransomware es tornen més sofisticades, la importància d’estratègies i sistemes de seguretat integrals no pot ser exagerada en la protecció contra violacions de dades i pèrdues financeres.
Source: The Cyber Express
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.