Trigona: Ukrainische Hacker machen bekannte Ransomware unschädlich
Die Ukrainian Cyber Alliance (UCA) hat offenbar die Server der Trigona-Ransomwaregruppe gehackt, darauf verfügbare Daten kopiert und die Systeme daraufhin unschädlich gemacht. Das berichtete Bleeping Computer(öffnet im neuen Fenster) mit Verweis auf einen X-Thread(öffnet im neuen Fenster) eines unter dem Pseudonym herm1t auftretenden UCA-Aktivisten.
Den Zugriff auf die Infrastruktur der Trigona-Ransomware verschafften sich die ukrainischen Hacker demnach über die schon seit Anfang Oktober bekannte Schwachstelle CVE-2023-22515(öffnet im neuen Fenster) , die sich auf die Produkte Confluence Data Center und Server von Atlassian bezieht. Darüber ist es Angreifern dem Entwickler zufolge möglich, "nicht autorisierte Confluence-Administratorkonten zu erstellen und auf Confluence-Instanzen zuzugreifen" .
Damit gelang es der UCA laut Bleeping Computer, in den Confluence-Server der Trigona-Ransomware einzudringen(öffnet im neuen Fenster) und unter anderem Quellcode und Datenbankeinträge zu kopieren. Letztere enthielten möglicherweise Entschlüsselungsschlüssel für die Ransomware, jedoch sei dies zum aktuellen Zeitpunkt noch ungewiss. Sobald derartige Schlüssel entdeckt würden, wolle die UCA diese aber veröffentlichen.
UCA greift Daten von Trigona ab
Die Trigona-Ransomwaregruppe selbst habe auf den Angriff zunächst mit einer Passwortänderung und der Abschaltung ihrer öffentlichen Infrastruktur reagiert. Dennoch sei die UCA in den folgenden Tagen in der Lage gewesen, sämtliche Daten aus den Verwaltungssystemen sowie dem zugehörigen Blog, der Datenleckseite und auch internen Tools von Trigona zu exfiltrieren.
Ebenso seien Kryptowallets und Daten aus der Entwicklungsumgebung der Trigona-Hacker abgegriffen worden. Darüber hinaus habe sich die UCA einen Zugriff auf drei Backups im Umfang von mehreren Hundert GByte gesichert, in denen wahrscheinlich gestohlene Daten enthalten seien.
Wie auch das Malware Hunter Team auf X bestätigte(öffnet im neuen Fenster) , zeigt die Datenleckseite von Trigona inzwischen eine Meldung, in der es heißt: "Die Server der Trigona-Ransomware-Bande wurden exfiltriert und gelöscht." Einen Schlüssel für den Zugriff auf das Administrationspanel von Trigona veröffentlichte herm1t ebenfalls auf X(öffnet im neuen Fenster) .
Hintergründe zu Trigona und der UCA
Die Trigona-Ransomware wurde erstmals Anfang 2022 entdeckt, hatte damals aber noch keinen spezifischen Namen. Die Bezeichnung Trigona tauchte zuerst vor etwa einem Jahr auf einer Tor-Webseite der Ransomwaregruppe auf, mit der die Hacker ihre Lösegeldforderungen durchsetzen wollten.
Bei der Ukrainian Cyber Alliance handelt es sich um eine Gruppe von Hacktivisten aus der Ukraine, die seit 2014 versuchen, den Cyberspace ihres Landes gegen russische Angriffe zu verteidigen. Sie greifen seither verschiedene Organisationen und Einzelpersonen an, die Russlands Aktivitäten gegen die Ukraine unterstützen.