Група кіберактивістів під прапором Ukrainian Cyber Alliance зламала сервери банди-вимагача Trigona та знищила їх, скопіювавши всю доступну інформацію. Бійці Українського кіберальянсу кажуть, що викрали всі дані з систем зловмисника, включаючи вихідний код і записи бази даних, які можуть містити ключі розшифровки.
Програма-вимагач Trigona не працює
Хакери Ukrainian Cyber Alliance отримали доступ до інфраструктури програми-вимагача Trigona, використовуючи публічний експлойт для CVE-2023-22515, критичної вразливості в центрі обробки даних і сервері Confluence, яку можна віддалено використовувати для підвищення привілеїв.
Ця вразливість була використана в атаках нульового дня з 14 вересня принаймні однією групою загроз, яку Microsoft відстежує як Storm-0062 (також відома як DarkShadow і Oro0lxy).
Український кіберальянс, або скорочено UCA, вперше зламав сервер Confluence програми-вимагача Trigona приблизно шість днів тому, встановив стійкість і склав карту інфраструктури кіберзлочинця абсолютно непомітно.
Після того, як активіст UCA, який використовував дескриптор herm1t, опублікував скріншоти внутрішніх документів підтримки групи програм-вимагачів, BleepingComputer повідомили, що програми-вимагачі Trigona спочатку запанікували та у відповідь змінили пароль і зруйнували її загальнодоступну інфраструктуру.
Однак протягом наступного тижня активістам вдалося отримати всю інформацію з адміністрації загрозливого актора та панелей жертв, його блогу та сайту витоку даних, а також внутрішніх інструментів (сервери Rocket.Chat, Jira та Confluence).
Активісти не знають, чи містить інформація, яку вони передали, ключі розшифровки, але вони сказали, що оприлюднять їх, якщо їх знайдуть. Зібравши всі доступні дані банди програм-вимагачів, активісти UCA видалили та зіпсували їхні сайти, а також передали ключ до сайту панелі адміністрування.