Los ataques recientes atribuidos a la banda de ransomware **Trigona** han revelado el uso de una herramienta personalizada para la exfiltración de datos. Esta utilidad, observada en ataques que se remontan a marzo, sugiere un alejamiento de las herramientas disponibles públicamente en favor de soluciones propietarias. ### Detalles de la Herramienta Personalizada Según investigadores de **Symantec**, la herramienta, denominada "uploader_client.exe", se conecta a una dirección de servidor codificada y cuenta con varias características diseñadas para mejorar el rendimiento y evadir la detección: * Soporte para cinco conexiones simultáneas por archivo para una exfiltración de datos más rápida a través de cargas paralelas. * Rotación de conexiones TCP después de 2 GB de tráfico para evadir la monitorización. * Opción para exfiltración selectiva de tipos de archivo, excluyendo archivos multimedia grandes y de bajo valor. * Uso de una clave de autenticación para restringir el acceso a los datos robados por terceros. Esta herramienta personalizada ha sido observada exfiltrando documentos de alto valor, incluyendo facturas y PDFs, desde unidades de red comprometidas. ### Resurgimiento de Trigona Lanzado por primera vez en octubre de 2022, **Trigona** opera como un ransomware de doble extorsión, exigiendo pagos en criptomoneda Monero. Si bien los activistas cibernéticos ucranianos interrumpieron las operaciones de **Trigona** en octubre de 2023 hackeando sus servidores, los hallazgos recientes de **Symantec** sugieren un resurgimiento de las actividades del grupo. ### Actividades Post-Compromiso Las observaciones de **Symantec** indican que los atacantes instalan la herramienta HRSword de **Huorong Network Security Suite** como un servicio de controlador de kernel después del compromiso. Esto es seguido por el despliegue de herramientas para deshabilitar productos de seguridad como PCHunter, Gmer, YDark, WKTools, DumpGuard y StpProcessMonitorByovd. > "Muchas de estas aprovecharon controladores de kernel vulnerables para terminar procesos de protección de endpoints", señala **Symantec**. Se utilizan utilidades como PowerRun para lanzar aplicaciones con privilegios elevados, eludiendo las protecciones en modo de usuario. **AnyDesk** se utiliza para acceso remoto directo, mientras que **Mimikatz** y las utilidades de Nirsoft se despliegan para el robo de credenciales y la recuperación de contraseñas. **Symantec** ha proporcionado indicadores de compromiso (IoCs) para ayudar en la detección y bloqueo de estos ataques.