Serveurs MS-SQL mal protégés attaqués par le rançongiciel Trigona

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, abonnez-vous à ZATAZ via Google News

Il y a quelques jours, je vous alertais de la prise d’otage de notaires français par un ransomware. Le hacker Trigona venait, une nouvelle fois, de frapper !

Le ransomware Trigona est actif depuis l’été 2022. Étonnamment, il n’avait pas de nom ni de quartier général avant octobre 2022.

Trigona est le nom d’une abeille. L’abeille Trigona n’a pas d’aiguillon. Elle est également connue sous le nom d’abeille mélipone. Elle est originaire d’Amérique centrale et d’Amérique du Sud. Elle est élevée pour sa production de miel, de propolis et de cire.

Les pirates ont-ils employé ce nom car originaire de cette zone géographique ? Ou alors en raison de sa production massive de miel ? Dans le cas de cette « abeille » 2.0, des tonnes de données volées ?

Lors de son infiltration, une note de rançon est stockée sur le poste infiltré, dans les dossiers pris en otage, etc. Elle est nommée « how_to_decrypt.hta« .

Cette note affiche des informations sur l’attaque, un lien vers le site de négociation Tor et un lien qui copie une clé d’autorisation dans le presse-papiers obligatoire pour se connecter au site de négociation Tor [ma capture écran ci-dessus].

Après s’être connectée au site des pirates, la victime reçoit des informations sur la façon d’acheter du Monero (cryptomonnaie) pour payer une rançon.

Un tchat d’assistance, un SAV accessible 24 heures sur 24.

Les malveillants le disent eux-mêmes, « pour négocier« . Cet espace offre également la possibilité de décrypter cinq fichiers, jusqu’à 5 Mo chacun, gratuitement.

La structure, la menace (les fichiers sont vendus aux enchères), le compte à rebours sur une année, ressemblent terriblement à ce que pouvait faire Ragner Locker ou encore ReVIL/Sodinokibi.

A droite, le compte à rebours et la vente aux enchères des données exfiltrés. – Capture zataz.com

Trigona est MS-SQL

La société de sécurité coréenne AhnLab a constaté une augmentation des attaques ciblant le déploiement du rançongiciel Trigona sur les serveurs Microsoft SQL. ZATAZ vous alertait, il y a quelques jours sur LinkedIn et Twitter, d’un retour en force de ce pirate informatique mieleux. Parmi les dernières victimes en date, des notaires français dont les données ont été mises aux enchères. 40 000 $ de prix de départ ; 120 000 $ de « blitz price », comprenez un montant que les pirates considèrent juste pour accepter une vente.

Trigona tente d’accéder aux machines connectées à Internet en utilisant la force brute ou en devinant la clé d’accès par dictionnaire. Après le piratage, le malware CLR Shell est introduit dans le serveur MS-SQL, qui collecte les informations système et modifie les paramètres du compte compromis, élevant les privilèges à LocalSystem. À cette fin, un exploit est utilisé – par exemple, CVE-2016-0099 si le service Windows de connexion secondaire est vulnérable.

Les attaques de Trigona sur les serveurs MS-SQL ne sont pas une nouveauté. En effet, des experts en sécurité avaient déjà signalé des attaques similaires en 2021, mais il semble que le ransomware ait augmenté son activité ces derniers mois.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.