Группа киберактивистов взломала серверы группы Trigona, занимающейся созданием вымогательского ПО, и полностью их очистила после копирования всей доступной информации. Активисты утверждают, что они извлекли все данные из систем угрозы, включая исходный код и записи базы данных, которые могут содержать ключи дешифрования .
Хакеры получили доступ к инфраструктуре Trigona, используя публичный эксплойт для уязвимости CVE-2023-22515 , критической уязвимости в Confluence Data Center и Server, которая может быть использована удаленно для эскалации привилегий.
После того как активист с псевдонимом herm1t опубликовал снимки экрана внутренних документов группы Trigona, было сообщено, что группа Trigona в панике изменила пароль и отключила свою публичную инфраструктуру. Однако в течение следующей недели активистам удалось извлечь всю информацию из панелей управления и панелей жертв группы, их блога, сайта утечек данных и внутренних инструментов.
herm1t сообщил, что они также извлекли среду разработчика, горячие кошельки криптовалюты, а также исходный код и записи базы данных. Активисты не знают, содержит ли перенесенная ими информация какие-либо ключи дешифрования, но они заявили, что опубликуют их, если найдут.
После извлечения всех доступных данных от группы вымогателей, активисты удалили и испортили их сайты, также поделившись ключом к сайту панели администрирования.
Trigona начала свою деятельность под этим именем в конце октября прошлого года, когда группа запустила сайт Tor для переговоров о выплате выкупа в криптовалюте Monero с жертвами их атак. На данный момент, из-за недавних действий киберактивистов, ни один из публичных сайтов и сервисов Trigona не доступен в сети.