info@merabytes.com
Trigona fue un grupo de ransomware de doble extorsión descubierto en octubre de 2022 y activo hasta octubre de 2023, cuando el grupo hacktivista ucraniano Ukrainian Cyber Alliance comprometió su infraestructura completa — panel de afiliados, base de datos de víctimas, servidor de negociaciones y código fuente — poniéndole fin. Llegó a publicar más de 100 víctimas en su DLS, aunque el número real es significativamente mayor.
Operaba bajo modelo RaaS, con diferentes afiliados empleando el mismo locker. Su rasgo más característico era una operativa metódica y pausada: los atacantes permanecían semanas en la red antes de detonar el ransomware, consolidando acceso y exfiltrando datos con calma.
🔑 Resumen del ataque
| Fase | Descripción |
|---|---|
| Acceso inicial | Credenciales RDWeb/RDP compradas a IABs o via credential stuffing (sin MFA) |
| Reconocimiento | NetScan para mapear hosts con RDP/SMB, discovery de shares de red |
| Credential Access | WDigest (zam.bat) + Mimikatz en memoria → Domain Admin en horas |
| Lateral Movement | SMB con credenciales DA, propagación a SQL Server, backups y NAS |
| Exfiltración | Rclone contra bases de datos SQL y fileservers antes del cifrado |
| Persistencia | Cuenta sys oculta via SpecialAccounts\UserList, servicios de autoarranque |
| Anti-recovery | coba.bat — eliminación de Shadow Copies + desactivación de Windows Defender |
| Impacto | ChaCha20 + RSA-4096 en Windows; locker ESXi para .vmdk/.vmsn |
🔓 Acceso inicial
El vector documentado con más frecuencia es la compra de credenciales válidas a Initial Access Brokers (IAB) para acceder a servicios RDWeb o RDP expuestos sin MFA. Como alternativa: credential stuffing con datos de filtraciones previas. Sin MFA, el acceso era inmediato y sin necesidad de explotar ninguna vulnerabilidad técnica.
🔑 Credential Access
Una vez dentro, Trigona ejecutaba un script propio llamado zam.bat que habilitaba WDigest en el registro (UseLogonCredential=1) para forzar que las credenciales quedasen almacenadas en claro en LSASS. A continuación ejecutaba Mimikatz en memoria para extraerlas. Con las credenciales de Domain Admin, la escalada completa solía completarse en cuestión de horas.
🕵️ Persistencia y evasión
✔ Creación de usuario local sys y adición al grupo Administradores
✔ Ocultación del usuario sys via clave de registro SpecialAccounts\UserList = 0 — invisible en pantalla de login
✔ Referencias al SID de administradores (S-1-5-32-544) en PowerShell para evadir detección por nombre de grupo
✔ SQL Server como pivote: ejecución de herramientas de reconocimiento y backdoors desde sqlservr.exe
📤 Exfiltración
Antes de cifrar, Trigona exfiltraba las bases de datos SQL completas y el contenido de fileservers mediante Rclone hacia almacenamiento cloud controlado por el atacante. Esta exfiltración previa era el fundamento de la doble extorsión: pagar para descifrar los datos Y para que no los publicasen.
💥 Impacto y destrucción
El script coba.bat se encargaba de la destrucción previa al cifrado:
✔ Eliminación de Shadow Copies con vssadmin, wmic y bcdedit
✔ Desactivación de Windows Defender
✔ Destrucción de backups accesibles vía SMB
El locker Windows usa ChaCha20 + RSA-4096. El locker ESXi cifraba directamente los ficheros .vmdk y .vmsn en /vmfs desde el hipervisor — una sola ejecución dejaba inoperativa toda la infraestructura virtualizada.
🛑 Fin de Trigona
En octubre de 2023, Ukrainian Cyber Alliance penetró los servidores de Trigona y desfiguró el panel de afiliados. Publicaron screenshots del código fuente, la base de datos de víctimas y las conversaciones de negociación — y borraron el resto. Las operaciones de Trigona no se recuperaron. Su código base, sin embargo, continuó en manos de otros grupos: BlackNevas es el derivado más activo a fecha de publicación.
🔗 Fuentes
- The DFIR Report — Trigona Ransomware in 3 Hours
- The DFIR Report — From OneNote to RansomNote
- SentinelOne Anthology — Trigona
- Ukrainian Cyber Alliance — Takedown Statement
Sectores Objetivo
Sectores de actividad en los que el grupo Trigona ha concentrado sus ataques.
Trigona atacó activamente a empresas del sector industrial y manufacturero, aprovechando la prevalencia de sistemas Windows legacy sin parchear y la escasa segmentación de red entre OT e IT.
Las organizaciones de salud fueron objetivo prioritario por su baja tolerancia al tiempo de inactividad y la sensibilidad de los datos de pacientes, lo que aumentaba la probabilidad de pago del rescate.
Entidades financieras y aseguradoras fueron atacadas por el valor de sus bases de datos y la presión regulatoria que las obliga a recuperar operaciones rápidamente.
Empresas medianas con servicios RDWeb o RDP expuestos a internet sin MFA eran el vector de entrada más explotado. La falta de segmentación interna facilitaba el movimiento lateral posterior.
Infraestructura Objetivo
Tipos de infraestructura y vectores de entrada documentados en los ataques de Trigona.
El vector de acceso inicial más documentado. El grupo adquiría credenciales válidas a través de Initial Access Brokers (IAB) o mediante credential stuffing con datos de filtraciones previas. Sin MFA, el acceso era inmediato.
Una vez dentro, los atacantes pivotaban hacia el servidor SQL principal usando el mismo usuario administrador local. Las bases de datos eran exfiltradas con rclone antes del cifrado.
Trigona buscaba comprometer el DC para obtener credenciales de Domain Admin. Con WDigest habilitado via zam.bat y mimikatz ejecutado en memoria, la escalada a DA era cuestión de horas.
El ransomware se propagaba explícitamente a los servidores de backup y NAS mediante SMB, y destruía los Shadow Copies con coba.bat, eliminando cualquier posibilidad de recuperación sin pagar el rescate.
Trigona disponía de un locker específico para ESXi que cifraba los volúmenes de las máquinas virtuales directamente desde el hipervisor, maximizando el impacto con una sola ejecución.
Detection & Response Rules
Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.
Detecta procesos hijo sospechosos lanzados desde sqlservr.exe. Trigona usaba SQL Server como pivote para ejecutar herramientas de reconocimiento y backdoors.
EventType = "Process Creation"
AND SrcProcName = "sqlservr.exe"
AND TgtProcName In (
"cmd.exe", "powershell.exe", "pwsh.exe",
"wscript.exe", "cscript.exe", "mshta.exe",
"certutil.exe", "regsvr32.exe", "rundll32.exe",
"bitsadmin.exe", "curl.exe", "wget.exe"
)Detecta ocultación de cuentas de usuario mediante SpecialAccounts\UserList. Trigona ocultaba el usuario sys creado durante el movimiento lateral.
event.category = 'process' AND (tgt.process.image.path endswith '\\reg.exe' AND tgt.process.cmdline contains '\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList' AND tgt.process.cmdline contains 'add' AND tgt.process.cmdline contains '/v' AND tgt.process.cmdline contains '/d 0')Variante ejecutada via reg.exe o PowerShell. Detecta la escritura a SpecialAccounts\UserList desde línea de comandos.
event.category = 'process' AND tgt.process.cmdline contains '\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList' AND tgt.process.cmdline contains 'add' AND tgt.process.cmdline contains '/v' AND tgt.process.cmdline contains '/d 0'Detecta referencias al SID del grupo Administrators local en PowerShell. Trigona lo usaba para ofuscar la adición de usuarios administradores.
event.category = 'command_script' AND event.data contains 'S-1-5-32-544'Detecta artefactos de NetScan (delete.me) en shares de red. Trigona usaba NetScan para descubrir hosts con RDP/SMB antes de propagarse lateralmente.
Detecta el borrado de Shadow Copies con vssadmin/wmic/bcdedit. Patrón exacto del script coba.bat documentado en ataques de Trigona.
EventType = "Process Creation"
AND (
(TgtProcName = "vssadmin.exe" AND TgtProcCmdLine ContainsCIS "delete shadows")
OR (TgtProcName = "wbadmin.exe" AND TgtProcCmdLine ContainsCIS "delete")
OR (TgtProcName = "bcdedit.exe" AND TgtProcCmdLine ContainsCIS "recoveryenabled no")
OR (TgtProcName = "wmic.exe" AND TgtProcCmdLine ContainsCIS "shadowcopy delete")
)Detecta la habilitación de WDigest para almacenar credenciales en caché en LSASS. Trigona habilitaba WDigest via zam.bat antes de ejecutar mimikatz.
EventType = "Registry Value Modified"
AND RegistryKeyPath ContainsCIS "SecurityProviders\\WDigest"
AND RegistryValue = "UseLogonCredential"
AND RegistryData = "1"