Recentemente, ataques de ransomware Trigona têm utilizado uma ferramenta personalizada chamada ‘uploader_client.exe’ para exfiltração de dados em ambientes comprometidos. Essa ferramenta, que se conecta a um servidor com endereço fixo, foi projetada para operar de forma mais eficiente e rápida, permitindo até cinco conexões simultâneas por arquivo e rotacionando conexões TCP após 2GB de tráfego, a fim de evitar a detecção. Além disso, ela permite a exfiltração seletiva de tipos de arquivos, excluindo mídias de baixo valor. Os ataques, que começaram em outubro de 2022, exigem pagamentos em criptomoeda Monero e, apesar de uma interrupção temporária em outubro de 2023 por ativistas cibernéticos ucranianos, os operadores do ransomware parecem ter retomado suas atividades. A Symantec, que analisou esses ataques, observou que os invasores instalam ferramentas como HRSword para desativar produtos de segurança e utilizam programas como AnyDesk para acesso remoto. A empresa também disponibilizou indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio dessas ameaças.
Fonte: https://www.bleepingcomputer.com/news/security/trigona-ransomware-attacks-use-custom-exfiltration-tool-to-steal-data/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
23/04/2026 • Risco: ALTO
RANSOMWARE
Ataques de ransomware Trigona usam ferramenta personalizada para roubo de dados
RESUMO EXECUTIVO
Os ataques de ransomware Trigona demonstram uma evolução nas técnicas de exfiltração de dados, utilizando ferramentas personalizadas para evitar detecções. A capacidade de roubar documentos valiosos e a exigência de pagamentos em criptomoeda aumentam o risco para empresas brasileiras, que devem estar atentas às implicações legais e financeiras.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao pagamento de resgates e interrupções operacionais.
Operacional
Roubo de documentos valiosos como faturas e PDFs
Setores vulneráveis
['Setores financeiros', 'Saúde', 'Educação']
📊 INDICADORES CHAVE
Suporte para cinco conexões simultâneas por arquivo
Indicador
Rotação de conexões TCP após 2GB de tráfego
Contexto BR
Exclusão de arquivos de mídia de baixo valor na exfiltração
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar sistemas em busca de sinais da ferramenta 'uploader_client.exe' e outras atividades suspeitas.
2
Implementar bloqueios de rede para impedir conexões com servidores desconhecidos e revisar políticas de segurança.
3
Monitorar continuamente logs de acesso e atividades de rede para detectar comportamentos anômalos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das técnicas de ransomware que visam dados sensíveis, especialmente em um cenário de crescente digitalização.
⚖️ COMPLIANCE
Implicações diretas na LGPD, com necessidade de proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
