Os agentes de segurança estão com bastante trabalho em 2022, e não vão parar tão cedo se depender dos hackers. Dessa vez, um ransomware identificado como “Trigona” está causando risco potencial para suas vítimas.
Atenção redobrada: mais um Ransomware na área
Poucos sabiam como identificá-lo, mas este ransomware conhecido como “Trigona”, é o novo perigo na área. Um dos destaques para seu ataque, é a inauguração de um site de negociação no Tor. Lá, as vítimas podem pagar o resgate utilizando a criptomoeda Monero.
Embora seja identificado agora como Trigona, este ransomware está atuando há algum tempo, com rastros datados do início deste ano. Na época, pelo fato dos criminosos usarem e-mails para negociações, não foi possível identificar a origem do ataque e relacioná-lo a um grupo específico.
“Trigona” é o nome dado a uma família de grandes abelhas do trópico americano, localizada no Brasil, Argentina e México. Desse modo, a operação de ransomware usa um logotipo que mostra uma pessoa-abelha.
Os responsáveis por descobrirem o ataque, são os pesquisadores da MalwareHunterTeam. Eles se dedicaram ao caso a partir do final de outubro de 2022, de modo que o nome do ransomware partiu da própria loja aberta no Tor pelos criminosos.
O que mais se descobriu sobre o ataque do Trigona?
Segundo o BleepingComputer, o Trigona ransomware já fez inúmeras vítimas, e agora, com a inauguração de um novo site no Tor, deve trazer mais problemas. Afinal, uma análise sobre o malware, revelou que ele suporta vários argumentos de linha de comando.
Durante o ataque, o Trigona vai criptografar quase todos os arquivos em um dispositivo, com exceção de algumas pastas específicas. Entre as pastas preservadas estão a Program Files e a Windows. Entretanto, após o golpe fatal, os arquivos são renomeados com a extensão “._locked” e ficam inacessíveis.
Outro incremento que o ransomware fará em um arquivo criptografado é a adição da chave de descriptografia, o ID da vítima e o ID da campanha. Além disso, as vítimas também recebem uma nota de resgate chamada “how_to_decrypt.hta”. Ela surge em toda pasta criptografada e exibe informações sobre o ataque e resgate.
Uma coisa intrigante, ainda não ficou evidente como os criminosos conseguem espalhar este ransomware. O site americano também revelou que apesar de ter notas informando que os hackers roubam arquivos no momento do ataque, não conseguiu confirmar isso.
Com informações: BleepingComputer
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui