I en värld där cyberhoten ständigt utvecklas har Trigona ransomware-gruppen nyligen uppvisat en ny taktik som kan få långtgående konsekvenser för IT-säkerhet. Genom att utveckla och använda ett skräddarsytt verktyg för dataexfiltration har de lyckats genomföra sina angrepp snabbare och mer diskret än tidigare. Detta verktyg, känt som 'uploader_client.exe', erbjuder avancerade funktioner som gör det svårt för traditionella säkerhetslösningar att upptäcka och stoppa angreppen.

Det skräddarsydda verktyget möjliggör upp till fem samtidiga anslutningar per fil, vilket påskyndar överföringen av data. Verktyget kan också vrida TCP-anslutningar efter 2 GB av trafik för att undvika övervakning, något som visar på en hög grad av teknisk finess. Genom att exkludera stora, lågprioriterade filer som mediafiler optimeras exfiltrationen för att fokusera på högvärdiga dokument som fakturor och PDF:er.

Denna förändring från att använda allmänt tillgängliga verktyg som Rclone och MegaSync till skräddarsydda lösningar indikerar att ransomware-grupper investerar betydande resurser i att utveckla egna verktyg. Detta kan ses som ett försök att flyga under radarn för befintliga säkerhetsåtgärder, vilket ökar risken för företag världen över, inklusive i Sverige och de nordiska länderna.

Förutom det nya exfiltreringsverktyget använder Trigona också legitima administrativa verktyg som BCP, Curl och PowerShell för att genomföra sina attacker. Denna användning av legitima verktyg ökar komplexiteten i angreppen och gör det svårare för säkerhetssystem att differentiera mellan normal och skadlig aktivitet.

Sedan lanseringen av Trigona ransomware i oktober 2022 har gruppen använt en dubbel utpressningstaktik, där de utöver att kryptera data också hotar att publicera stulen information om inte en lösensumma betalas. Trots ett temporärt avbrott efter att ukrainska cyberaktivister hackat deras servrar och stulit interna data, har gruppen återupptagit sina aktiviteter.

För svenska och nordiska företag är detta en väckarklocka att intensifiera sina säkerhetsåtgärder. Det handlar inte längre bara om att ha ett starkt försvar mot kända hot, utan också om att förbereda sig för de okända och skräddarsydda verktyg som dessa cyberbrottslingar utvecklar. Att hålla sig uppdaterad med de senaste säkerhetslösningarna och träna personal i att känna igen tecken på angrepp är nu viktigare än någonsin.

FAKTAKOLL: Notering — Artikeln nämner inte användningen av Huorong Network Security Suite tool HRSword, vilket är en del av Trigonas taktik enligt källmaterialet.; Artikeln nämner inte användningen av PowerRun för att köra applikationer med förhöjda privilegier, vilket är en del av Trigonas taktik enligt källmaterialet.; Artikeln nämner inte användningen av AnyDesk för direkt fjärråtkomst, vilket är en del av Trigonas taktik enligt källmaterialet.