Image credit: magnific
Geng Trigona Pencuri Data Presisi – Para penyerang ransomware kini tidak lagi hanya bergantung pada alat-alat populer yang sudah dikenal luas untuk mencuri data.
Afiliasi yang terkait dengan kelompok Trigona telah mengambil langkah yang lebih terhitung dengan membangun alat eksfiltrasi data kustom mereka sendiri.
Langkah ini memberikan mereka presisi, kecepatan, dan kendali yang jauh lebih besar atas proses pencurian informasi sensitif.
Muncul pertama kali pada akhir 2022, Trigona beroperasi di bawah model Ransomware-as-a-Service (RaaS) yang dikelola oleh grup kriminal bernama Rhantus.
Selama bertahun-tahun, banyak kelompok ransomware menggunakan utilitas publik seperti Rclone atau MegaSync.
Namun, karena alat-alat tersebut kini sangat mudah dideteksi oleh vendor keamanan, Trigona beralih ke solusi buatan sendiri untuk tetap berada di bawah radar selama fase serangan yang paling sensitif.
Alat Pencuri Data yang Presisi
Alat kustom bernama “uploader_client.exe” adalah utilitas baris perintah (command-line) yang terhubung ke peladen kendali peretas.
Peneliti menemukan bahwa alat ini digunakan secara spesifik untuk menargetkan folder yang berisi faktur keuangan dan dokumen PDF bernilai tinggi di network drive.
Kecanggihan alat ini terlihat dari fitur-fitur teknisnya:
- Menggunakan lima koneksi paralel per file untuk mempercepat pengiriman data.
- Merotasi koneksi TCP setiap 2.048 MB data untuk menghindari pemicu pada sistem pemantauan jaringan.
- Memiliki bendera (flag) khusus untuk mengabaikan file media seperti video atau audio, sehingga hanya fokus pada dokumen dokumen yang benar-benar berharga.
- Menggunakan kunci autentikasi bersama untuk memastikan data yang dicuri hanya bisa diakses oleh kelompok mereka.
Pelumpuhan Pertahanan dan Persiapan Serangan
Sebelum mengirimkan data, penyerang Trigona melakukan langkah-langkah sistematis untuk melucuti pertahanan korban.
Mereka menyalahgunakan komponen kernel driver dari paket keamanan sah, seperti HRSword, untuk mematikan perangkat lunak keamanan yang terpasang di mesin target.
Selain itu, mereka mengerahkan berbagai alat seperti PCHunter, Gmer, dan YDark yang mengeksploitasi kerentanan pada driver kernel (teknik BYOVD).
Dengan beroperasi di level terdalam sistem operasi, mereka dapat menghentikan proses perlindungan endpoint yang biasanya tidak bisa dimatikan oleh pengguna biasa.
Akses jarak jauh kemudian dibangun melalui aplikasi AnyDesk, sementara kredensial diambil menggunakan Mimikatz dan berbagai utilitas pemulihan kata sandi Nirsoft.
|
Baca juga: AI Beri Kekuatan Super Metode Penipuan Lama |
Penjagaan dan Mitigasi Risiko
Mengingat Trigona kini beroperasi dengan disiplin layaknya sebuah proyek perangkat lunak profesional, organisasi perlu memperkuat pertahanan mereka melalui langkah-langkah berikut:
- Segera audit dan batasi penggunaan alat akses jarak jauh seperti AnyDesk. Pastikan aplikasi tersebut hanya berjalan melalui jalur resmi dengan otentikasi ganda yang ketat.
- Konfigurasikan sistem perlindungan endpoint (EDR) untuk memberikan peringatan instan jika ada alat seperti PCHunter, Gmer, atau HRSword yang mencoba memanipulasi driver di level kernel.
- Gunakan pemantauan jaringan untuk mendeteksi koneksi keluar bervolume tinggi yang melakukan rotasi koneksi secara cepat atau tidak lazim, yang merupakan ciri khas alat eksfiltrasi kustom Trigona.
- Terapkan prinsip hak akses minimum (Least Privilege) pada folder keuangan dan dokumen rahasia di network drive untuk mempersempit ruang gerak alat pencuri data otomatis.
- Masukkan utilitas pencuri kredensial seperti Nirsoft ke dalam daftar hitam (blacklist) jika tidak diperlukan untuk kebutuhan administratif resmi.
- Selalu lakukan penambalan (patching) pada sistem operasi untuk menutup celah keamanan driver yang sering dieksploitasi dalam serangan BYOVD.
- Gunakan Proteksi Berlapis seperti solusi keamanan yang dapat membantu mengidentifikasi perilaku mencurigakan dari malware Trigona, mulai dari tahap persiapan hingga upaya pengiriman data ke server asing.
Melawan Kejahatan Siber yang Terstruktur
Investigasi terhadap kelompok Trigona membuktikan bahwa peretas kini semakin berani berinvestasi dalam penelitian dan pengembangan mandiri.
Mereka tidak lagi hanya menjadi “konsumen” alat peretas yang sudah ada, tetapi menjadi “produsen” senjata siber yang disesuaikan dengan target mereka.
Di tahun 2026, menghadapi ancaman yang terorganisir seperti ini menuntut kita untuk tidak hanya memiliki pertahanan di permukaan, tetapi juga visibilitas hingga ke level terdalam sistem dan jaringan.
Dengan memahami bahwa data keuangan adalah target utama mereka, kita dapat membangun benteng yang lebih spesifik dan tangguh.
Sumber berita:
