Ransomware-Angreifer entwickeln eigenes Tool zur Datenexfiltration, um sensible Informationen zu stehlen

Ransomware-Angreifer verlassen sich nicht mehr nur auf allgemein bekannte Tools, um Daten zu stehlen. Affiliate, die mit der Trigona-Ransomware-Gruppe in Verbindung stehen, verfolgen einen kalkulierteren Ansatz, indem si Ransomware-Angreifer verlassen sich nicht mehr nur auf allgemein bekannte Tools, um Daten zu stehlen.

Affiliate, die mit der Trigona-Ransomware-Gruppe in Verbindung stehen, verfolgen einen kalkulierteren Ansatz, indem sie ihr eigenes, maßgeschneidertes Datenexfiltrations-Tool entwickelt haben, das ihnen mehr Präzision, Geschwindigkeit und Kontrolle über den Prozess des Datendiebstahls verleiht.

Die Trigona-Ransomware tauchte erstmals Ende 2022 auf und operiert nach einem Ransomware-as-a-Service (RaaS)-Modell, das von einer Cyberkriminalitätsgruppe namens Rhantus verwaltet wird. Jahrelang verließen sich viele Ransomware-Gruppen auf öffentlich verfügbare Utilities wie Rclone oder MegaSync, um gestohlene Daten zu übertragen.

Diese Tools waren zwar effektiv, aber sie sind den Sicherheitsanbietern so bekannt geworden, dass sie leichter zu erkennen sind. Der Wechsel zu einem speziell entwickelten Tool signalisiert, dass die Angreifer technisch fähiger und bei der Durchführung ihrer Operationen bedachter werden.

Symantecs Threat Hunter Team identifizierte die Angriffe im März 2026 und stellte fest, dass dieser Taktikwechsel eine bedeutende Entwicklung im Verhalten der Trigona Group darstellt.

Die Forscher beobachteten, dass die Angreifer anscheinend erhebliche Zeit und Ressourcen in die Entwicklung proprietärer Malware investieren, wahrscheinlich um während der sensibelsten Phase ihres Angriffs ein niedrigeres Profil zu wahren: das Stehlen der Daten.