Trigona sendiri dikenal sebagai salah satu kelompok ransomware yang aktif sejak beberapa tahun terakhir dan menargetkan berbagai sektor industri dengan metode serangan yang terus berkembang.

Dalam laporan yang sama, alat yang dipakai Trigona dirancang untuk mempercepat proses exfiltration atau pengambilan data dari sistem yang telah disusupi sehingga pelaku dapat menyalin data dalam jumlah besar dengan lebih efisien sekaligus mengurangi kemungkinan terdeteksi oleh sistem keamanan.

Penggunaan tool custom ini juga menjadi strategi untuk menghindari deteksi. Sebelumnya, banyak kelompok ransomware menggunakan aplikasi populer seperti Rclone atau MegaSync untuk mencuri data. Namun, karena cara tersebut sudah dikenal oleh sistem keamanan, aktivitasnya lebih mudah teridentifikasi.

Dengan beralih ke alat buatan sendiri, pelaku Trigona dapat menyamarkan aktivitas mereka sehingga lebih sulit dideteksi oleh solusi keamanan tradisional.

Serangan ini merupakan bagian dari skema double extortion, di mana pelaku tidak hanya mengenkripsi data korban, tetapi juga mencurinya terlebih dahulu untuk dijadikan alat tekanan tambahan. Jika korban menolak membayar tebusan, data tersebut dapat dipublikasikan atau dijual.

Menurut pengamatan Symantec terhadap serangan Trigona baru-baru ini, pelaku ancaman menginstal Huorong Network Security Suite HRSword sebagai layanan driver kernel.

Fase ini diikuti dengan menyebarkan tool tambahan yang dapat menonaktifkan produk terkait keamanan, misalnya, PCHunter, Gmer, YDark, WKTools, DumpGuard, dan StpProcessMonitorByovd.

AnyDesk digunakan untuk akses jarak jauh langsung pada sistem yang dilanggar, sementara utilitas Mimikatz dan Nirsoft dieksekusi untuk pencurian kredensial dan operasi pemulihan kata sandi.

Beberapa utilitas dijalankan dengan PowerRun, sebuah produk yang dapat meluncurkan aplikasi, executable, dan skrip dengan hak istimewa yang lebih tinggi, sehingga melewati perlindungan mode pengguna.

Symantec telah mencantumkan indikator kompromi (IoC) yang terkait dengan aktivitas Trigona terbaru di bagian bawah laporannya untuk membantu deteksi dan pemblokiran serangan ini tepat waktu.

"Banyak dari ini memanfaatkan driver kernel yang rentan untuk menghentikan proses perlindungan titik akhir," kata pengamat Symantec.