2023年10月18日拍摄的Trigona勒索软件泄露网站的屏幕截图

乌克兰黑客声称对清除Trigona勒索软件团伙的服务器负责，该团伙最近成立，可能与俄罗斯地下网络犯罪有联系。

乌克兰网络联盟，一个黑客主义团体，周三在推特上发了一条截图，截图上的黑帮显然被玷污了，现在显示了一条信息：“特里戈纳死了，三角形勒索软件团伙的服务器已经被渗透并清除。欢迎来到你为他人创造的世界。”被乌克兰网络联盟黑了”Trigona黑暗的网站似乎是离线截至周三下午。

同样的信息也出现在这个黑客组织的Telegram频道上。该组织声称是一个由乌克兰各城市网络活动家组成的社区。Inform Napalm表示，乌克兰网络联盟于2016年通过独立黑客组织的合并而成立。

一个黑客者在X上的昵称为@vx_herm1t，原名为Twitter，他声称自己是这个乌克兰网络联盟的成员，在一条推文中发布了他所说的Trigona管理员面板访问URL和登录的密钥。Facebook上一位自称乌克兰网络联盟发言人的“肖恩·布莱恩·汤森”发布了一条类似的消息，同时对俄罗斯勒索软件黑客的能力轻描淡写。“勒索软件是计算机世界的清道夫。他们是软弱的。”可怕的俄罗斯黑客”根据机器翻译，他是用俄语写的。

恶意软件猎人团队证实了Trigona泄漏和支付网站的污损，并表示，该事件发生后仅几天@vx_herm1t在Twitter上关于黑客入侵Trigona的Confluence服务器。

@vx_herm1t告诉安全媒体集团，乌克兰网络联盟利用最近披露的Confluence中的CVE—2023—22515漏洞对Trigona服务器进行了黑客行动。

“尽管他们的管理员努力更改密码并关闭了他们面向互联网的基础设施（而不是TOR），我们仍然能够保持对基础设施的持续访问，窃取了所有数据并擦除了服务器。它包括管理面板，受害者登陆页面，博客，泄密网站，Monero热钱包，开发环境和内部团队服务器(与火箭聊天，汇合点和Jira)，”@vx_herm1t说。

他说，该组织在发现两个硬编码的密码后侵入了Monero的钱包，但里面是空的。

特里戈纳的勒索信很特别。它们不是通常的文本文件，而是嵌入JavaScript的HTML应用程序，其中包含唯一的计算机ID和受害者ID，网络安全公司帕洛阿尔托网络在3月写道。HTML应用程序文件名为how_to_decrypt.hta。

Trigona勒索软件是安全研究人员去年10月底首次发现的一种相对较新的病毒。帕洛阿尔托确定，Trigona在12月非常活跃，至少有15个潜在的受害者。受影响的机构主要来自制造业、金融业、建筑业、农业、营销和高科技行业。

AhnLab在4月份发现了管理不善的Microsoft SQL Server实例上的Trigona勒索软件。SentinelOne表示，该犯罪集团对受害者使用咄咄逼人的最后期限，试图恐吓他们支付勒索。

网络安全公司Arete在二月表示，Trigona利用了ManageEngine漏洞CVE-2021-40539用于初始访问。Arete的一份报告发现，有证据表明Trigona与BlackCat（又名Alphv）有联系，后者是一个讲俄语的犯罪集团，被怀疑是DarkSide和BlackMatter的继承者，与前Revil成员有联系。

“特里戈纳通过电子邮件和语音邮件向受害者明确通报了他们自己是阿尔弗(黑猫)以及特里戈纳。其次，当这位威胁演员向他们的一名受害者施压，要求支付赎金时，他们分享了一个Tor链接到Alphv的一个私人博客页面。

Arete总结说，这些证据不足以证明这两个群体实际上是相同的。它还说，特里戈纳和黑猫“使用不同的赎金，利用不同的漏洞，并展示了不同的沟通策略。”

趋势微得出了一个类似的结论，在6月写到，两组之间的重叠充其量只是间接的。还有一种可能就是黑猫与特里戈纳黑客合作，但实际上并没有参与开发和运作新的赎金集团。