Un gruppo di cyber attivisti, noto come Ukrainian Cyber Alliance, ha violato i server del gruppo ransomware Trigona, copiando tutte le informazioni disponibili e poi cancellandole.
Dettagli dell’attacco
Gli attivisti dell’Ukrainian Cyber Alliance affermano di aver estratto tutti i dati dai sistemi del gruppo di minaccia, inclusi il codice sorgente e i record del database, che potrebbero contenere chiavi di decrittazione. Hanno ottenuto l’accesso all’infrastruttura di Trigona ransomware utilizzando un exploit pubblico per CVE-2023-22515, una vulnerabilità critica nel Confluence Data Center e Server. Questa vulnerabilità era stata sfruttata come zero-day da almeno un gruppo di minacce che Microsoft identifica come Storm-0062.
Operazioni degli attivisti
L’Ukrainian Cyber Alliance ha violato il server Confluence di Trigona ransomware circa sei giorni fa, stabilendo una persistenza e mappando completamente l’infrastruttura del cybercriminale senza essere notato. Dopo che un attivista dell’UCA, conosciuto come herm1t, ha pubblicato screenshot dei documenti di supporto interni del gruppo ransomware, BleepingComputer ha riferito che Trigona ransomware ha inizialmente reagito cambiando la password e disattivando la sua infrastruttura pubblica. Tuttavia, nel corso della settimana successiva, gli attivisti sono riusciti a prendere tutte le informazioni dai pannelli di amministrazione e vittima del gruppo di minaccia, dal loro blog, dal sito di perdita di dati e dagli strumenti interni.
Risultati dell’attacco
Dopo aver raccolto tutti i dati disponibili dal gruppo ransomware, gli attivisti dell’UCA hanno cancellato e deturpato i loro siti, condividendo anche la chiave per il sito del pannello di amministrazione. L’UCA sostiene di aver recuperato tre backup con centinaia di gigabyte di documenti probabilmente rubati.
L’Ukrainian Cyber Alliance
A partire dal 2014, diversi hacktivist in Ucraina e in tutto il mondo hanno iniziato a collaborare per difendere il cyberspazio del paese contro l’aggressione russa. Circa due anni dopo, hacker individuali e diversi gruppi di hacker si sono uniti per formare l’Ukrainian Cyber Alliance, ora registrata come organizzazione non governativa.
Attività di Trigona Ransomware
L’operazione ransomware Trigona è emersa con questo nome alla fine dell’ottobre scorso, quando il gruppo ha lanciato un sito Tor per negoziare pagamenti di riscatto in criptovaluta Monero con le vittime dei loro attacchi. Attualmente, a causa delle recenti azioni dell’Ukrainian Cyber Alliance, nessuno dei siti web pubblici e dei servizi di Trigona ransomware è online.