Ejecución del ransomware Trigona 

Cuando se inicia, el ransomware encripta los archivos en las máquinas comprometidas y agrega una extensión de archivo “._locked” a esos archivos encriptados. 

También deja un archivo “how_to_decrypt.hta”, que se muestra a continuación. Este es un archivo HTML que contiene detalles sobre cómo recuperar datos cifrados y cómo ponerse en contacto con el actor de amenazas del ransomware Trigona. Si bien hay un enlace de descarga para el navegador Tor disponible en la nota de rescate, ya no funcionaba en el momento de la investigación. Como tal, se espera que los usuarios encuentren y visiten el sitio oficial de Tor para descargar e instalar el navegador Tor. 

Una vez que se copia y abre un enlace a la página de descifrado en el navegador Tor, a las víctimas del ransomware Trigona se les presenta una página de registro donde pueden ingresar una clave que queda en la nota de rescate. 

Primera página de registro del ransomware Trigona en Tor 

En la siguiente pantalla, se les pide a las víctimas que ingresen un nombre de usuario y establezcan una contraseña de inicio de sesión. 

Segunda página de registro del ransomware Trigona en Tor 

Algunas variantes del ransomware Trigona no dirigen a las víctimas al sitio Tor. En cambio, la nota de rescate pide a las víctimas que envíen un correo electrónico al atacante. 

Nota de rescate de la variante del ransomware Trigona 

Los informes disponibles públicamente indican que se les pide a las víctimas que compren y paguen una cantidad desconocida de rescate en la criptomoneda Monero (XMR) después de iniciar sesión en el sitio Tor. El sitio Tor también ofrece una opción de chat de apoyo a las víctimas. 

Protección Fortinet 

Los clientes de Fortinet ya están protegidos contra esta variante de malware a través de los servicios de filtrado web, antivirus y FortiEDR de FortiGuard, de la siguiente manera: 

FortiGuard Labs detecta variantes conocidas de ransomware Trigona con la siguiente firma AV: 

• W32/Filecoder.OLC!tr.rescate 

COI 

IOC basados ​​en archivos: 

Guía de laboratorios de FortiGuard 

Debido a la facilidad de la interrupción, el daño a las operaciones diarias, el impacto potencial en la reputación de una organización y la destrucción o liberación no deseada de información de identificación personal (PII), etc., es vital mantener actualizadas todas las firmas AV e IPS. 

Dado que la mayoría del ransomware se entrega a través de phishing, las organizaciones deberían considerar aprovechar las soluciones de Fortinet diseñadas para capacitar a los usuarios para que comprendan y detecten las amenazas de phishing: 

El  servicio de simulación de phishing de FortiPhish  utiliza simulaciones del mundo real para ayudar a las organizaciones a evaluar el conocimiento y la vigilancia de los usuarios frente a las amenazas de phishing y para capacitar y reforzar las prácticas adecuadas cuando los usuarios se encuentran con ataques de phishing dirigidos. 

Las organizaciones deberán realizar cambios fundamentales en la frecuencia, la ubicación y la seguridad de sus copias de seguridad de datos para hacer frente de manera eficaz al riesgo de ransomware que evoluciona y se expande rápidamente. Cuando se combina con el compromiso de la cadena de suministro digital y una fuerza laboral que trabaja a distancia en la red, existe un riesgo real de que los ataques puedan provenir de cualquier lugar. Soluciones de seguridad basadas en la nube, como  SASE , para proteger dispositivos fuera de la red; seguridad avanzada de punto final, como   soluciones EDR (detección y respuesta de punto final) que pueden interrumpir el malware en medio de un ataque; y  acceso de confianza cero y las estrategias de segmentación de la red que restringen el acceso a las aplicaciones y los recursos según la política y el contexto deben investigarse para minimizar el riesgo y reducir el impacto de un ataque de ransomware exitoso. 

Como parte del  Security Fabric totalmente integrado líder en la industria , que brinda sinergia nativa y automatización en todo su ecosistema de seguridad, Fortinet también ofrece una amplia cartera de tecnología y ofertas como servicio basadas en humanos. Estos servicios cuentan con la tecnología de nuestro equipo global FortiGuard de expertos en ciberseguridad. 

Las mejores prácticas incluyen no pagar un rescate 

Organizaciones como CISA, NCSC,  FBI y HHS advierten a las víctimas de ransomware que no paguen un rescate, en parte porque el pago no garantiza que se recuperarán los archivos. De acuerdo con un  aviso de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU ., los pagos de rescate también pueden animar a los adversarios a apuntar a organizaciones adicionales, alentar a otros actores criminales a distribuir ransomware y/o financiar actividades ilícitas que podrían ser potencialmente ilegales. Para organizaciones e individuos afectados por ransomware, el FBI tiene una página de quejas de ransomware   donde las víctimas pueden enviar muestras de actividad de ransomware a través de su Centro de quejas de delitos en Internet (IC3). 

Cómo puede ayudar Fortinet 

El servicio de respuesta ante incidentes de emergencia de FortiGuard Labs   proporciona una respuesta rápida y eficaz cuando se detecta un incidente. Y nuestro  servicio de suscripción de preparación para incidentes  brinda herramientas y orientación para ayudarlo a prepararse mejor para un incidente cibernético a través de evaluaciones de preparación, desarrollo de libros de estrategias de IR y pruebas de libros de estrategias de IR (ejercicios de simulación). 

< 1 >
Fuentes de Información

Si deseas que tu empresa cuentes con expertos que te puedan asesorar para la implementación de un firewall en tu empresa, haz clic aquí  y uno de nuestros asesores se podrá en contacto contigo para proporcionarte más información sobre el servicio