Uma operação de Ransomware está ativa há algum tempo, com amostras vistas no início do ano. No entanto, essas amostras utilizaram e-mail para negociações e não foram marcadas com um nome específico.

A partir do final de outubro de 2022, a operação de ransomware lançou um novo site de negociação Tor onde eles se autodenominaram oficialmente ‘Trigona’. Ao criptografar arquivos, o Trigona criptografará todos os arquivos em um dispositivo, exceto aqueles em pastas específicas, como as pastas Windows e Program Files.

Além disso, o ransomware renomeará os arquivos criptografados para usar a extensão ._locked. O malware também incorporará a chave de descriptografia criptografada, o ID da campanha e o ID da vítima (nome da empresa) nos arquivos criptografados.

Não está claro como a operação viola redes ou implanta ransomware. Além disso, embora suas notas de resgate afirmem que eles roubam dados durante os ataques, não foi encontrado nenhuma prova disso.

No entanto, seus ataques têm aumentado em todo o mundo e, com o investimento em uma plataforma Tor dedicada, eles provavelmente continuarão a expandir suas operações.