Ransomware Trigona Terlihat Dalam Sejumlah Serangan Siber Di Seluruh Dunia

Cyberthreat.id – Peneliti dari MalwareHunterTeam mengungkapkan bahwa pihaknya menemukan kampanye serangan siber yang menargetkan berbagai organisasi di seluruh dunia dengan menggunakan ransomware Trigona.

Menurut peneliti, ransomware yang sebelumnya tidak diketahui namanya ini, telah berganti nama dengan nama Trigona. Mereka juga meluncurkan situs negosiasi Tor baru di mana mereka menerima Monero sebagai pembayaran tebusan.

Dikutip dari Bleeping Computer, Trigona telah aktif selama beberapa waktu, dengan sampel terlihat di awal tahun. Namun, sampel tersebut menggunakan email untuk negosiasi dan tidak diberi merek dengan nama tertentu.

Peneliti mengatakan, operasi ransomware meluncurkan situs negosiasi Tor baru tempat mereka secara resmi menamakan diri mereka Trigona sejak Akhir Oktober 2022 lalu. Operasi ransomware telah mengadopsi logo yang memperlihatkan seseorang dengan kostum seperti lebah.

“Banyak korban dari operasi ransomware baru, termasuk perusahaan real estate dan apa yang tampaknya menjadi sebuah desa di Jerman,” kata peneliti.

Peneliti menganalisis sampel Trigona baru-baru ini dan menemukan bahwa sampel tersebut mendukung berbagai argumen baris perintah yang menentukan apakah file lokal atau jaringan dienkripsi, jika kunci autorun Windows ditambahkan, dan apakah ID korban uji (VID) atau ID kampanye (CID) harus digunakan.

Saat mengenkripsi file, Trigona akan mengenkripsi semua file di perangkat kecuali yang ada di folder tertentu, seperti folder Windows dan Program Files. Selain itu, ransomware akan mengganti nama file terenkripsi untuk menggunakan ekstensi ._locked. Misalnya, file 1.doc akan dienkripsi dan diganti namanya menjadi 1.doc._locked, seperti yang ditunjukkan di bawah ini.

“Ransomware juga akan menyematkan kunci dekripsi terenkripsi, ID kampanye, dan ID korban (nama perusahaan) dalam file terenkripsi,” kata peneliti.

Peneliti menyebutkan, catatan tebusan bernama how_to_decrypt.hta akan dibuat di setiap folder yang dipindai. Catatan ini menampilkan informasi tentang serangan, tautan ke situs negosiasi Tor, dan tautan yang menyalin kunci otorisasi ke papan klip Windows yang diperlukan untuk masuk ke situs negosiasi Tor.

Setelah masuk ke situs Tor, korban akan diperlihatkan informasi tentang cara membeli Monero untuk membayar uang tebusan dan obrolan dukungan yang dapat mereka gunakan untuk bernegosiasi dengan pelaku ancaman. Situs ini juga menawarkan kemampuan untuk mendekripsi lima file, masing-masing hingga 5MB, gratis.

Hingga kini adanya negosiasi aktif, dan tidak diketahui berapa banyak uang yang diminta pelaku ancaman dari para korban. Saat tebusan dibayarkan, korban akan menerima tautan ke dekripsi dan file keys.dat, yang berisi kunci dekripsi pribadi.

Tidak jelas bagaimana operasi tersebut menembus jaringan atau menyebarkan ransomware. Selain itu, sementara catatan tebusan mereka mengklaim bahwa mereka mencuri data selama serangan, BleepingComputer belum melihat buktinya. Namun, serangan mereka telah meningkat di seluruh dunia, dan dengan investasi ke dalam platform Tor khusus, kemungkinan besar mereka akan terus memperluas operasi mereka.