Ataques recentes atribuídos à gangue de ransomware **Trigona** revelaram o uso de uma ferramenta personalizada de exfiltração de dados. Essa utilidade, observada em ataques que remontam a março, sugere um afastamento de ferramentas publicamente disponíveis em favor de soluções proprietárias. ### Detalhes da Ferramenta Personalizada De acordo com pesquisadores da **Symantec**, a ferramenta, denominada “uploader_client.exe”, conecta-se a um endereço de servidor codificado e possui vários recursos projetados para aprimorar o desempenho e evadir a detecção: * Suporte para cinco conexões simultâneas por arquivo para exfiltração de dados mais rápida via uploads paralelos. * Rotação de conexões TCP após 2 GB de tráfego para evadir monitoramento. * Opção para exfiltração seletiva de tipos de arquivo, excluindo arquivos de mídia grandes e de baixo valor. * Uso de uma chave de autenticação para restringir o acesso a dados roubados por terceiros. Esta ferramenta personalizada tem sido observada exfiltrando documentos de alto valor, incluindo faturas e PDFs, de unidades de rede comprometidas. ### Ressurgimento do Trigona Lançado pela primeira vez em outubro de 2022, o **Trigona** opera como um ransomware de dupla extorsão, exigindo pagamentos em criptomoeda Monero. Embora ativistas cibernéticos ucranianos tenham interrompido as operações do **Trigona** em outubro de 2023 ao invadir seus servidores, as descobertas recentes da **Symantec** sugerem um ressurgimento das atividades do grupo. ### Atividades Pós-Comprometimento As observações da **Symantec** indicam que os atacantes instalam a ferramenta **Huorong Network Security Suite** HRSword como um serviço de driver de kernel após o comprometimento. Isso é seguido pela implantação de ferramentas para desativar produtos de segurança como PCHunter, Gmer, YDark, WKTools, DumpGuard e StpProcessMonitorByovd. > "Muitos desses exploraram drivers de kernel vulneráveis para encerrar processos de proteção de endpoint", observa a **Symantec**. Utilitários como PowerRun são usados para iniciar aplicativos com privilégios elevados, contornando proteções em modo de usuário. **AnyDesk** é utilizado para acesso remoto direto, enquanto **Mimikatz** e utilitários Nirsoft são implantados para roubo de credenciais e recuperação de senhas. A **Symantec** forneceu indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio desses ataques.