Des attaques récentes attribuées au gang de ransomware **Trigona** ont révélé l'utilisation d'un outil personnalisé d'exfiltration de données. Cet utilitaire, observé dans des attaques remontant à mars, suggère un abandon des outils disponibles publiquement au profit de solutions propriétaires. ### Détails de l'outil personnalisé Selon les chercheurs de **Symantec**, l'outil, nommé "uploader_client.exe", se connecte à une adresse de serveur codée en dur et offre plusieurs fonctionnalités conçues pour améliorer les performances et échapper à la détection : * Support de cinq connexions simultanées par fichier pour une exfiltration de données plus rapide via des téléchargements parallèles. * Rotation des connexions TCP après 2 Go de trafic pour échapper à la surveillance. * Option d'exfiltration sélective de types de fichiers, excluant les fichiers multimédias volumineux et de faible valeur. * Utilisation d'une clé d'authentification pour restreindre l'accès aux données volées par des tiers. Cet outil personnalisé a été observé en train d'exfiltrer des documents de grande valeur, notamment des factures et des PDF, à partir de lecteurs réseau compromis. ### La résurgence de Trigona Lancé pour la première fois en octobre 2022, **Trigona** opère comme un ransomware à double extorsion, exigeant des paiements en cryptomonnaie Monero. Bien que des cyberactivistes ukrainiens aient perturbé les opérations de **Trigona** en octobre 2023 en piratant leurs serveurs, les récentes découvertes de **Symantec** suggèrent une résurgence des activités du groupe. ### Activités post-compromission Les observations de **Symantec** indiquent que les attaquants installent l'outil **Huorong Network Security Suite** HRSword comme service de pilote noyau après la compromission. Cela est suivi du déploiement d'outils pour désactiver les produits de sécurité tels que PCHunter, Gmer, YDark, WKTools, DumpGuard et StpProcessMonitorByovd. > "Beaucoup de ces outils ont exploité des pilotes noyau vulnérables pour terminer les processus de protection des points d'extrémité", note **Symantec**. Des utilitaires comme PowerRun sont utilisés pour lancer des applications avec des privilèges élevés, contournant les protections en mode utilisateur. **AnyDesk** est utilisé pour l'accès à distance direct, tandis que **Mimikatz** et les utilitaires Nirsoft sont déployés pour le vol d'identifiants et la récupération de mots de passe. **Symantec** a fourni des indicateurs de compromission (IoCs) pour aider à la détection et au blocage de ces attaques.