IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

باج‌افزاری که قبلاً نامش فاش نشده بود، به «Trigona» تغییر نام داد و یک سایت جدید Tor برای مذاکره با قربانیان راه‌اندازی کرده که در آن Monero را به عنوان باج می‌پذیرد.

بدافزار Trigona مدتی است که فعال بوده و نمونه‌هایی از آن در ابتدای سال دیده شده است. با این حال، آن نمونه‌ها از‌ایمیل برای مذاکره استفاده می‌کردند و تحت نام خاصی علامت‌گذاری نمی‌شدند.

همانطور که این بدافزار توسط MalwareHunterTeam کشف شده، از اواخر اکتبر ۲۰۲۲، عملیات باج‌افزار یک سایت جدید مذاکره Tor راه‌اندازی کرد که در آن، آن‌ها رسما خود را "Trigona" نامیدند.

از آنجایی که Trigona نام خانواده‌ای از زنبور‌های بزرگ بدون نیش است، عملیات باج‌افزار لوگویی را انتخاب کرده است که فردی را در لباسی شبیه زنبور‌های سایبری نشان می‌دهد که در زیر نشان داده شده است.



خبرگزاری BleepingComputer از قربانیان متعدد عملیات باج‌افزار جدید، از جمله یک شرکت املاک و مستغلات در آلمان پرده‌برداری کرده است.

باج‌افزار Trigona
خبرگزاری‌ها نمونه اخیر Trigona را تجزیه و تحلیل کرده و دریافته‌اند که از آرگومان‌های مختلف کامند لاین پشتیبانی می‌کند که تعیین می‌کنند آیا فایل‌های محلی یا شبکه رمزگذاری شده‌اند، آیا کلید اجرای خودکار ویندوز اضافه می‌شود، و آیا‌ شناسه قربانی آزمایشی (VID) یا‌ شناسه کمپین (CID) استفاده شده، وجود داشته باشد.
آرگومان‌های کامند لاین در زیر آورده شده‌اند:



هنگام رمزگذاری فایل‌ها، Trigona همه فایل‌های موجود در دستگاه را رمزگذاری می‌کند، به جز فایل‌های موجود در پوشه‌های خاص، مانند پوشه‌های Windows و Program Files. علاوه بر این، باج‌افزار نام فایل‌های رمزگذاری‌شده را برای استفاده از پسوند ._locked تغییر می‌دهد.

برای مثال، فایل 1.doc مانند شکل زیر رمزگذاری شده و به 1.doc._locked تغییر نام می‌دهد.



این باج‌افزار همچنین کلید رمزگشایی رمزگذاری شده، ‌شناسه کمپین و‌ شناسه قربانی (نام شرکت) را در فایل‌های رمزگذاری شده جاسازی می‌کند.



در هر پوشه اسکن شده، یادداشت باج‌گیری با نام How_to_decrypt.hta ایجاد می‌شود. این یادداشت اطلاعات مربوط به حمله، لینکی به سایت مذاکره Tor، و لینکی را نشان می‌دهد که یک کلید مجوز را در کلیپ بورد ویندوز مورد نیاز برای ورود به سایت مذاکره Tor کپی می‌کند.



پس از ورود به سایت Tor، قربانی اطلاعاتی در مورد نحوه خرید مونرو برای پرداخت باج و یک چت پشتیبانی نشان داده می‌شود که می‌تواند برای مذاکره با عوامل تهدید از آن استفاده کند. این سایت همچنین امکان رمزگشایی پنج فایل، حداکثر ۵ مگابایت را به صورت رایگان ارائه می‌دهد.

خبرگزاری‌ها هنوز هیچ مذاکره فعالی را ندیده‌اند و معلوم نیست عاملان تهدید نهایتاً چقدر از قربانیان طلب می‌کنند.



هنگامی که باج پرداخت می‌شود، قربانیان لینکی به رمزگشا و فایل keys.dat دریافت می‌کنند که حاوی کلید رمزگشایی خصوصی است.

رمزگشا به شما امکان می‌دهد فایل‌ها یا پوشه‌های فردی را در دستگاه محلی و اشتراک‌های شبکه رمزگشایی کنید.



مشخص نیست که این عملیات چگونه شبکه‌ها را نقض می‌کند یا باج‌افزار را به کار می‌گیرد. علاوه بر این، در حالی که یادداشتهای باج‌گیری آن‌ها ادعا می‌کند که داده‌ها را در طول حملات سرقت می‌کنند، خبرگزاری‌ها هیچ مدرکی دال بر این موضوع ندیده‌اند.

با این حال، حملات آن‌ها در سراسر جهان افزایش یافته است، و با سرمایه‌گذاری در یک پلت فرم اختصاصی Tor، آن‌ها احتمالاً به گسترش عملیات خود ادامه خواهند داد.