보안정보

글로벌 정보보안 리더 윈스

전 세계적으로 증가하고 있는 Trigona 랜섬웨어 공격

분석팀 2022.11.30

Trigona

 

 

이전에 이름이 알려지지 않았던 랜섬웨어가 'Trigona'라는 이름으로 브랜드를 바꿔 Monero를 몸값으로 받는 새로운 Tor 협상 사이트를 시작했다.


Trigona는 연초에 샘플을 볼 수 있는 일정 기간 동안 활성화되었다. 


그러나 이러한 샘플은 협상을 위해 이메일을 사용했으며 특정 이름으로 브랜드화되지 않았다.


MalwareHunterTeam이 발견한 바와 같이 2022년 10월 말부터 랜섬웨어 사업을 시작으로 새로운 토르 협상 사이트를 개설해 공식적으로 'Trigona'라는 이름을 붙였다.


Trigona는 대형 무침벌의 이름이기 때문에 랜섬웨어 작전은 아래와 같이 사이버 벌 모양의 의상을 입은 사람을 나타내는 로고를 채택했다. 

 

 

Trigona ransomware operation's logo

 

[그림 1. Trigona 랜섬웨어 운영 로고]

 

 

BleepingComputer는 부동산 회사와 독일의 한 마을로 보이는 마을을 포함하여 새로운 랜섬웨어 작전의 수많은 피해자를 알고 있다.


BleepingComputer는 Trigona의 최근 샘플을 분석한 결과 로컬 또는 네트워크 파일 암호화 여부, Windows 자동 실행 키 추가 여부, 테스트 피해자 ID(VID) 또는 캠페인 ID(CID)를 사용해야 하는지 여부를 결정하는 다양한 command line argument를 지원한다는 사실을 발견했다. 


Command line argument는 다음과 같다.

 

/full

/!autorun

/test_cid

/test_vid

/path

/!local

/!lan

/autorun_only


파일을 암호화할 때 Trigona는 Windows 및 Program Files 폴더와 같은 특정 폴더에 있는 파일을 제외한 장치의 모든 파일을 암호화한다. 


또한 이 랜섬웨어는 암호화된 파일의 이름을  ._locked 확장자를 사용하기 위해 변경한다. 


예를 들어 1.doc 파일은 아래와 같이 암호화되고 이름이 1.doc._locked로 변경된다.

 

 

Files encrypted by Trigona

 

[그림 2. Trigona에 의해 암호화된 파일]

 


또한 랜섬웨어는 암호화된 복호화 키, 캠페인 ID, 피해자 ID(회사명)를 암호화된 파일에 내장한다.

 

 

Encrypted file with file markers

 

[그림 3. 파일 마커가 있는 암호화된 파일]

 

 

스캔한 각 폴더에 how_to_decrypt.hta라는 이름의 랜섬노트가 생성된다. 


이 메모에는 공격에 대한 정보, Tor 협상 사이트에 대한 링크, Tor 협상 사이트에 로그인하는 데 필요한 인증 키를 Windows 클립보드에 복사하는 링크가 표시된다.

 

 

Trigona ransom note

 

[그림 4. Trigona ransom note]


 

Tor 사이트에 로그인하면 피해자에게 Monero를 구매해 몸값을 지불하는 방법과 위협 행위자와 협상할 수 있는 지원 채팅이 제공된다. 


이 사이트는 또한 각각 최대 5MB인 5개의 파일을 무료로 해독하는 기능을 제공한다.


BleepingComputer는 적극적인 협상을 본 적이 없으며, 위협 행위자가 피해자에게 얼마나 많은 돈을 요구하는지 알 수 없다.

 

 

Trigona Tor negotiation site

 

[그림 5. Trigona Tor 협상 사이트]

 


몸값을 지불하면 피해자는 개인 암호 해독 키가 포함된 암호 해독기 및 keys.dat 파일에 대한 링크를 받게 된다.


암호 해독기를 사용하면 로컬 장치 및 네트워크 공유에 있는 개별 파일 또는 폴더를 암호 해독할 수 있다.

 

 

Scan and decrypt screens of the Trigona decryptor

 

[그림 6. Trigona 암호 해독기의 스캔 및 암호 해독 화면]

 


그 작전이 어떻게 네트워크를 침해하거나 랜섬웨어를 배포하는지는 불분명하다. 

 

게다가, 그들의 ransom note는 그들이 공격하는 동안 데이터를 훔쳤다고 주장하지만, Beeping Computer는 이것에 대한 어떤 증거도 보지 못했다.


그러나 그들의 공격은 전 세계적으로 증가하고 있으며 전용 Tor 플랫폼에 대한 투자로 작업을 계속 확장할 것으로 보인다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/trigona-ransomware-spotted-in-increasing-attacks-worldwide/