研究人员观察 Trinity 和 Venus 勒索软件菌株之间的潜在联系

Cyble 研究与情报实验室 (CRIL) 的网络安全研究人员发现了一种名为 Trinity 的新勒索软件变种，该变种采用双重勒索策略，并且与之前发现的 Venus 勒索软件存在潜在联系。

本文探讨了有关 Trinity 勒索软件株的发现以及 Trinity 勒索软件株和 Venus 勒索软件株之间的相似之处。

揭示 Trinity 勒索软件的战术和技术细节
CRIL 研究人员观察到一种名为 Trinity 的新勒索软件变体，该变体采用常见的双重勒索策略，例如在加密之前从受害者系统中窃取数据，并意图在其操作中同时使用支持站点和泄露站点。

支持网站允许受害者上传大小小于 2MB 的样本文件进行解密，而泄漏网站虽然目前为空，但有可能暴露受害者数据。

在调查的初始阶段，研究人员观察到 Trinity勒索软件与自 2024 年初以来一直活跃的 2023Lock 勒索软件之间存在相似之处。两个变体之间的深刻相似之处（例如相同的勒索信息和代码）表明 Trinity 可能是2023Lock 勒索软件。

研究人员注意到勒索软件操作中存在复杂的执行过程，例如在其二进制文件中搜索勒索信息，如果文件不可用，则会立即终止。该勒索软件收集处理器数量、线程池和现有驱动器等系统信息，以准备其多线程加密过程。

然后，勒索软件通过冒充合法进程的令牌来尝试权限升级以供自己使用，从而使勒索软件能够绕过安全措施。该勒索软件部署网络枚举活动以及横向移动，展示了广泛的攻击能力。

Trinity 变体采用 ChaCha20 算法来加密受害者文件。加密后，文件名会附加“.trinitylock”，而勒索注释将以文本和.hta 格式保留在其中。勒索软件还会将桌面壁纸修改为勒索软件注释，并使用特定的注册表项来促进此更改。

Trinity 勒索软件和 Venus 勒索软件之间的相似之处
Trinity 和 Venus 之间的联系不仅仅是赎金票据和注册表使用方面的相似之处。

Venus 是一个影响全球的成熟勒索软件操作，于 2022 年中期左右出现。 Venus 和 Trinity 之间的相似之处还包括它们使用相同的注册表值以及互斥体命名约定和代码库的一致性。

此外，两种勒索软件变体使用的勒索字条都具有相似的格式。共享的策略和技术表明两个团队之间可能存在合作。这种合作可能会导致技术、工具和基础设施的交流，从而扩大未来勒索软件活动的规模和复杂性。

CRIL 研究人员建议组织保持警惕并实施强有力的网络安全措施，以防范这些不断变化的威胁。