Trigona koristi novi alat za krađu podataka u ransomware napadima
U napadima primećenim u martu 2026, affiliate grupa povezana sa Trigona ransomware operacijom, koju Symantec prati kao Rhantus, koristila je namenski alat za eksfiltraciju umesto poznatih alata kao što su Rclone i MegaSync. Alat omogućava selektivnu krađu vrednih fajlova, paralelni prenos podataka, rotaciju TCP konekcija i izbegavanje glomaznih tipova fajlova poput mp3 i mp4 zapisa. Pre krađe podataka napadači su gasili zaštitne alate koristeći HRSword, PowerRun, AnyDesk i druge alate koji zloupotrebljavaju kernel drajvere.
Za firme je nezgodno to što napadači više ne moraju da se oslanjaju na poznate javne alate koje zaštitni sistemi lakše prepoznaju. Kada ransomware grupa razvije sopstveni alat za krađu podataka i prethodno onesposobi endpoint zaštitu, odbrana zavisi od toga koliko dobro organizacija vidi neobične drajvere, remote access alate i neuobičajen odlazni saobraćaj.
- Pratiti instalaciju nepoznatih ili neočekivanih kernel drajvera na računarima i serverima
- Ograničiti i nadzirati upotrebu remote access alata kao što je AnyDesk
- Podešavati alarme za neuobičajen odlazni saobraćaj i velike prenose podataka ka nepoznatim serverima
- Kontrolisati privilegije administratora i sprečiti pokretanje alata koji gase zaštitne procese
- Redovno proveravati da endpoint zaštita radi i da nije zaobiđena ili lokalno onesposobljena