Recente Trigona ransomware-aanvallen maken gebruik van een eigen command-line tool om data sneller en efficiënter te exfiltreren uit besmette omgevingen. Deze tool, ingezet bij aanvallen in maart, is ontwikkeld om het gebruik van publieke tools zoals Rclone en MegaSync te vermijden, die vaak door beveiligingsoplossingen worden gedetecteerd. Onderzoekers van cybersecuritybedrijf Symantec zien deze ontwikkeling als een teken dat de aanvallers investeren in eigen malware om tijdens een cruciale fase van hun aanvallen een lager profiel te behouden, zoals zij aangeven in hun rapport.

De tool, genaamd “uploader_client.exe”, maakt verbinding met een hardcoded serveradres en ondersteunt vijf gelijktijdige verbindingen per bestand, wat de datadiefstal versnelt door parallelle uploads. Daarnaast roteert de tool de TCP-verbindingen na 2GB aan verkeer om monitoring te ontwijken. Ook is er een optie om selectief bestandstypen te exfiltreren, waarbij grote, weinig waardevolle mediabestanden worden uitgesloten. Toegang tot de gestolen data wordt beperkt door een authenticatiesleutel, zodat derden geen toegang krijgen. In een incident werd met deze tool waardevolle documenten zoals facturen en PDF-bestanden van netwerkschijven gestolen.

Trigona ransomware werd in oktober 2022 geïntroduceerd als een double-extortion operatie waarbij slachtoffers losgeld moesten betalen in de Monero-cryptocurrency. Hoewel Oekraïense cyberactivisten de operatie in oktober 2023 verstoorden door servers te hacken en interne data zoals broncode en databasegegevens te stelen, suggereert het rapport van Symantec dat de dreigingsactoren hun activiteiten hebben hervat.

Volgens Symantec installeren de aanvallers bij recente Trigona-aanvallen de Huorong Network Security Suite tool HRSword als kernel driver service. Daarna worden extra tools ingezet die beveiligingsproducten kunnen uitschakelen, waaronder PCHunter, Gmer, YDark, WKTools, DumpGuard en StpProcessMonitorByovd. Veel van deze tools maken gebruik van kwetsbare kernel drivers om processen van endpointbescherming te beëindigen. Sommige utilities worden uitgevoerd met PowerRun, waarmee applicaties en scripts met verhoogde privileges kunnen draaien, waardoor gebruikersmodusbeveiligingen worden omzeild. Voor directe externe toegang wordt AnyDesk gebruikt, terwijl Mimikatz en Nirsoft tools worden ingezet voor het stelen van credentials en het terughalen van wachtwoorden.

Symantec heeft indicatoren van compromittering (IoC's) van de nieuwste Trigona-activiteiten opgenomen in hun rapport om tijdige detectie en blokkering van deze aanvallen te ondersteunen.