Saldırganlar Trigona Ransomware saldırı için Microsoft SQL Server sunucularını hedef alıyor.
İyi bir şekilde optimize edilmemiş güvenlik önlemleriyle korunan ve İnternet’e açık Microsoft SQL (MS-SQL) sunucularına saldırganlar tarafından yapılan sızma girişimleri sonucunda Trigona fidye yazılımı ile şifrelenme yapılmaktadır.
MS-SQL sunucuları, tahmin etmesi kolay hesap bilgilerini kullanan sunucularda brute force ile ihlal edilmektedir.
Saldırganlar, Güney Koreli siber güvenlik şirketi AhnLab tarafından keşfedilen saldırıları düzenleyen CLR Shell adlı kötü amaçlı yazılımı kullanarak sunucuya bağlandıktan sonra harekete geçiyor. Bu kötü amaçlı yazılım, sistem bilgilerini toplamak, etkilenen hesabın yapılandırmasını değiştirmek ve Windows İkincil Oturum Açma Hizmeti’ndeki bir açığı kullanarak yerel sistem ayrıcalıklarını yükseltmek için kullanılıyor.
AhnLab, “CLR Shell, tehdit aktörlerinden komut alan ve kötü amaçlı davranışlar sergileyen, web sunucularının WebShell’lerine benzer bir CLR montajı kötü amaçlı yazılım türüdür” diyor.
Sistem şifrelemesi ve fidye notlarının dağıtılmasından önce, kötü amaçlı yazılım sistem kurtarmayı devre dışı bırakılıyor ve tüm VSS’yi silerek, şifre çözme anahtarı olmadan kurtarmanın imkansız hale gelmesini sağlamaktadır. İlk olarak Ekim 2022’de MalwareHunterTeam tarafından tespit edilen ve analiz edilen Trigona fidye yazılımı operasyonu, sadece dünya çapındaki kurbanlardan Monero kripto para birimi ile fidye ödemesi kabul etmesiyle biliniyor.
Kaynak: bleepingcomputer
