ผู้โจมตีกำลังปฏิบัติการโจมตีเซิร์ฟเวอร์ Microsoft SQL (MS-SQL) ที่มีความปลอดภัยต่ำ และสามารถเข้าถึงได้จากอินเทอร์เน็ต เพื่อติดตั้งเพย์โหลดของ Trigona ransomware และทำการเข้ารหัสไฟล์ทั้งหมด

เซิร์ฟเวอร์ MS-SQL จะถูกโจมตีผ่านการโจมตีแบบ Brute-force หรือ Dictionary attack ที่มีการตั้งรหัสผ่านที่คาดเดาได้ง่าย หลังจากเข้าถึงเซิร์ฟเวอร์ได้แล้ว ผู้โจมตีจะติดตั้งมัลแวร์ที่ชื่อว่า CLR Shell ซึ่งถูกพบโดยนักวิจัยด้านความปลอดภัยจาก AhnLab โดยมัลแวร์ตัวนี้ถูกใช้เพื่อรวบรวมข้อมูลบนระบบ และเปลี่ยนแปลงการกำหนดค่าบัญชีที่ถูกโจมตี และเพิ่มสิทธิ์ไปยัง LocalSystem โดยใช้ประโยชน์จากช่องโหว่ใน Windows Secondary Logon Service

AhnLab ระบุว่า CLR Shell เป็นมัลแวร์ CLR assembly ประเภทหนึ่งที่รับคำสั่งจากผู้โจมตี และทำหน้าที่คล้ายกับ WebShell บนเว็บเซิร์ฟเวอร์ จากนั้นผู้โจมตีจะทำการติดตั้ง Dropper malware ด้วย service ชื่อ svcservice.