Група хактивисти под знамето на Украинския кибернетичен алианс е хакнала сървърите на бандата Trigona ransomware и ги е изтрила, след като е копирала цялата налична информация.
Бойците от Украинския кибер алианс твърдят, че са ексфилтрирали всички данни от системите на збандата, включително изходния код и записите в базите данни, които може да включват ключове за декриптиране.
Хакерите от Ukrainian Cyber Alliance са получили достъп до инфраструктурата на Trigona, като са използвали публичен експлойт за CVE-2023-22515 – критична уязвимост в Confluence Data Center and Server, която може да бъде използвана дистанционно за увеличаване на привилегиите.
Уязвимостта е използвана в атаки като нулев ден от 14 септември насам от поне една група за заплахи, която Microsoft проследява като Storm-0062 (известна също като DarkShadow и Oro0lxy).
Украинският кибернетичен алианс, или накратко UCA, за първи път проби сървъра Confluence на рансъмуера Trigona преди около шест дни, установи устойчивост и картографира инфраструктурата на киберпрестъпниците напълно незабелязано.
След като активист на UCA, публикува скрийншоти на вътрешните документи за поддръжка на бандата за откуп, обществеността беше уведомена, че първоначално Trigona ransomware са изпаднали в паника и са реагирали, като са сменили паролата и са свалили инфраструктурата си, насочена към обществеността.
През следващата седмица обаче активистите успели да вземат цялата информация от панелите за администриране и за жертви на заплахата, от блога и сайта им за изтичане на данни, както и от вътрешните инструменти (сървърите Rocket.Chat, Jira и Confluence).
След като събрали всички налични данни от бандата за рансъмуер, активистите на UCA изтрили и деформирали сайта й, като споделили и ключа за вход в административния панел.
UCA твърди, че е успяла да извлече три резервни копия със стотици гигабайти вероятно откраднати документи.
От 2014 г. множество хактивисти в Украйна и по света започнаха да работят заедно, за да защитят киберпространството на страната от руската агресия.
Около две години по-късно отделни хакери и няколко хакерски групи се обединиха, за да създадат Украинския кибер алианс, който сега е регистриран като неправителствена организация, и започнаха да атакуват различни организации и лица, подкрепящи дейността на Русия срещу Украйна.
Самоличността на членовете на групата е тайна, с изключение на тези, които я създават като официална структура, чиято работа се ръководи от гражданския дълг за страната.
Според страницата на организацията в Уикипедия членовете ѝ са провели множество успешни хакерски операции, в резултат на които е разкрита информация за дейността и пропагандните усилия на Русия в Украйна и други държави, както и за контрола ѝ върху различни физически и юридически лица.
Сред постиженията на UCA са хакването на руското министерство на отбраната два пъти през 2016 г. и изтичането на обществени поръчки в областта на отбраната и поверителни данни за осигуряването на държавната поръчка за отбрана от 2015-2016 г.
Друг успех е хакването на имейлите на Владислав Сурков – лице, за което се смята, че е разработило машината за руската пропаганда през последните години, където е обсъждал анексирането на Крим и как да се финансират Луганската и Донецката територия, когато станат руски републики.
Операцията Trigona ransomware се появява под това име в края на октомври миналата година, когато бандата стартира сайт на Tor, за да договаря плащания на откупи в криптовалутата Monero с жертвите на своите атаки.
Преди това образците на зловредния софтуер нямаха конкретно име и бяха наблюдавани в дивата природа от началото на 2022 г. Преди марката Trigona операторите използваха електронна поща за договаряне на плащанията на откупи.
За известно време киберпрестъпниците са били достатъчно активни, за да компрометират в рамките на един месец поне 15 компании в секторите на производството, финансите, строителството, селското стопанство, маркетинга и високите технологии.
По-рано тази година хакерите на Trigona се бяха насочили към SQL сървъри на Microsoft, изложени в публичния интернет, като използваха атаки с груба сила или речник, за да получат данни за достъп.
В момента, поради неотдавнашните действия на Украинския кибер алианс, нито един от публичните уебсайтове и услуги, свързани с рансъмуера Trigona, не е онлайн.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
