april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Ransomware

Trigona-ransomware utvecklar eget verktyg för datastöld

Blog Reading Time 4 Lästid / april 27, 2026

Trigona ransomware-gruppen har övergett färdiga verktyg för datastöld till förmån för specialutvecklad skadlig kod som stjäl filer snabbare och undviker säkerhetsdetektering. Förändringen markerar en betydande upptrappning av gruppens kapacitet. Forskare vid Symantec bekräftar att det specialbyggda verktyget, kallat uploader_client.exe, användes i angrepp som observerades i mars 2026.

Skiftet bort från allmänt tillgängliga verktyg som Rclone och MegaSync speglar sannolikt en medveten anpassning till förbättrade säkerhetslösningar. Enligt Symantecs forskare: ”Many publicly available tools are now so well known they may be flagged by security solutions.” Det specialutvecklade verktyget möjliggör fem parallella dataöverföringsströmmar per fil och roterar TCP-anslutningar efter 2 GB data för att undvika att utlösa larm från nätverksövervakning.

Detta tyder på en oroande mognad inom ransomwareverksamheter. Medan de flesta RaaS-affiliates aktörer förlitar sig på standardverktyg för snabbhet och enkelhet kräver utveckling av egen skadlig kod betydande resurser och teknisk kompetens, något som få grupper besitter.

Verktyget riktar sig på värdefulla dokument

Verktyget uploader_client.exe innehåller avancerade filtreringsfunktioner som gör det möjligt för angripare att exkludera filer med lågt värde för datastöld. Genom att använda flaggan –exclude-ext kan operatörer hoppa över ljud- och videofiler och istället fokusera på dokument, fakturor och PDF-filer. I en bekräftad incident observerade Symantec angripare som specifikt riktade sig på mappar med fakturor och PDF-filer på nätverksenheter.

Verktyget ansluter till en hårdkodad angriparkontrollerad server och använder som standard fem samtidiga anslutningar per fil. Efter att ha överfört 2 048 MB roteras TCP-anslutningen – en teknik som syftar till att undvika övervakningssytem som flaggar för långvariga och högvolymiga anslutningar till enskilda IP-adresser.

Säkerhetsmjukvara inaktiveras före datastöld

Innan Trigona-affiliates distribuerar sitt specialutvecklade verktyg inaktiverar de systematiskt endpoint-skydd på de drabbade systemen. Angreppet inleds med installation av HRSword, en legitim kärndrivrutinskomponent från Huorong Network Security Suite, som sedan används för att avsluta säkerhetsprocesser.

Därefter använder gruppen en verktygslåda som inkluderar PCHunter, Gmer, YDark, WKTools, DumpGuard och StpProcessMonitorByovd. Flera av dessa utnyttjar sårbara kärndrivrutiner för att kringgå säkerhetslösningar. Symantec bekräftar att ”many of these leveraged vulnerable kernel drivers to terminate endpoint protection processes.” Gratisverktyget PowerRun tillhandahåller förhöjda privilegier så att dessa verktyg kan köras.

Trigona överlevde ukrainsk störning

Trigona dök först upp i oktober 2022 som en dubbel utpressningsoperation där lösen krävdes i kryptovalutan Monero. I oktober 2023 stördes verksamheten av ukrainska cyberaktivister, osm komprometterade Trigornas servrar och stal både källkod och databasregister. Attackerna i mars 2026, som bekräftats av Symantec, visar att gruppen har återupptagit sin verksamhet – nu med förbättrade tekniska kapaciteter.

Gruppen verkar enligt en Ransomware-as-a-Service-modell, där Symantec spårar operatörerna under namnet Rhantus. Till skillnad från etablerade RaaS-aktörer verkar Trigona inte ha någon publik läckagesajt för stulen data, vilket för det svårare att bedöma omfattningen av deras attacker.

Specialverktyg signalerar en utveckling inom ransomware

Utvecklingen av specialbyggd skadlig kod för datastöld markerar en viktig förändring i förändring inom ransomwarelandskapet. De flesta affiliates prioriterar snabb spridning framför smygförmåga och använder beprövade verktyg som enkelt kan distribueras mot flera mål. Att utveckla egen kod kräver däremot långsiktiga investeringar och tyder på att hotaktörer driver sin verksamhet med en disciplin osm liknar legitim mjukvaruutveckling.

Som Symantecs forskare uttryckte det: ”The use of custom tooling in the ransomware landscape is a double-edged sword for attackers. While it requires development resources and time, these tools can provide a level of stealth that generic tools cannot match, at least until they’re discovered.”

För organisationer som hanterar känsliga finansiella register eller konfidentiella dokument innebär denna utveckling en mer utmanande hotbild. Specialutvecklade verktyg kan förbli oupptäckta längre än kända lösningar, och deras avancerade filtreringsfunktioner gör det möjligt för angripare att maximera värdet av stulen data.

Referenser

  1. Trigona ransomware attacks use custom exfiltration tool to steal data — https://www.bleepingcomputer.com/news/security/trigona-ransomware-attacks-use-custom-exfiltration-tool-to-steal-data/
  2. Trigona Affiliates Deploy Custom Exfiltration Tool to Streamline Data Theft — https://www.security.com/threat-intelligence/trigona-exfiltration-custom
  3. Trigona ransomware attackers use novel tool for data exfiltration — https://www.scworld.com/news/trigona-ransomware-attackers-use-novel-tool-for-data-exfiltration
  4. Trigona ransomware adopts custom tool to steal data and evade detection — https://securityaffairs.com/191294/cyber-crime/trigona-ransomware-adopts-custom-tool-to-steal-data-and-evade-detection.html

This post is also available in: English

Related News

ShinyHunters hotar läcka data från Udemy, Zara och 7-Eleven

ShinyHunters påstår sig ha stulit 1,4 miljoner poster från lärplattformen Udemy och hotar att släppa datan tillsammans med stulen information från Zara och 7-Eleven. Brottsgruppen…

Cyber News Calendar icon april 28, 2026
Microsoft Defender Targeted by Three Zero-Days, Two Remain Unpatched

Microsoft Defender drabbat av tre zero-days – två fortfarande opatchade

Cyber News Calendar icon april 24, 2026
NCSC Handles 200 State Cyber Attacks as Britain Faces Four Weekly Incidents

NCSC hanterade 200 statliga cyberangrepp när Storbritannien möter fyra incidenter per vecka

Cyber News Calendar icon april 23, 2026

Nordkoreanska hackare kapade Axios-paket för 100 miljoner användare

Nordkoreanska statshackare komprometterade Axios npm-paket den 31 mars 2026 och infogade en cross-platform remote access trojan i en av JavaScripts mest använda HTTP-klienter. Angreppsfönstret varade…

Cyber News Calendar icon april 22, 2026
French Identity Document Agency Hit by Cyberattack, 19 Million Records at Risk

Fransk myndighet hackad – upp till 19 miljoner uppgifter kan vara exponerade

Cyber News Calendar icon april 21, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss