Die Hacktivisten-Gruppe Ukrainian Cyber Alliance (UCA) ist in die Server der Ransomware-Gruppe Trigona eingedrungen, hat deren Daten exfiltriert – darunter Hunderte Gigabytes an gestohlenen Daten der Ransomware-Opfer – und die Trigona-Systeme danach durch Löschung unschädlich gemacht,
wie "Bleeping Computer" berichtet. Der Hack gelang demnach über die Schwachstelle CVE-2023-22515 im Atlassian-Produkt Confluence Data Center und Confluence Server, die es erlaubt, nicht autorisierte Confluence-Administrator-Accounts zu erstellen.
Neben den Ransomware-Servern hat die UCA auch die Entwicklungsumgebung, diverse Krypto-Wallets, den Quellcode sowie Datenbankeinträge von Trigona exfiltriert beziehungsweise gelöscht. Ob unter den erbeuteten Daten auch Entschlüsselungs-Keys sind, ist bisher nicht bekannt. Falls solche Decryptors auftauchen, will die UCA sie publik machen. Die Hacktivisten-Gruppe ist 2014 entstanden, um den ukrainischen Cyberspace vor Angriffen aus Russland zu schützen und greift seither immer wieder selbst Akteure an, die die Aktivitäten von Russland gegen die Ukraine unterstützen.
(ubi)