האקרים מפיצים את כופרת Trigona דרך שרתי Microsoft SQL (MS-SQL) החשופים לאינטרנט כדי לאסוף מידע ממערכות מחשוב ולהשיג שליטה בהן. במתקפות שזוהו על ידי ארגון אבטחת הסייבר הדרום קוריאני AhnLab, התגלה כי ההאקרים משתמשים בהתקפות brute-force או בשמות משתמשים וסיסמאות שנגנבו, כדי לחדור לשרתי MS-SQL הנגישים מרשת האינטרנט. לאחר השגת גישה, משתמשים ההאקרים בנוזקה של CLR Shell כדי לאסוף מידע מהמערכת, לשנות את התצורה של החשבון שנפרץ או להשיג הרשאות נוספות באמצעות פגיעות בשירות הכניסה המשני של Windows. לאחר מכן מותקנת נוזקת Trigona.
Trigona היא סוג של כופרה המצפינה קבצים עם אלגוריתם AES מאובטח, מסתירה את הסיומות שלהם ובמקום זאת מציגה קבצים עם סיומת _locked. כנופיית הכופרה טוענת כי היא גם גונבת מידע ונתונים במהלך הפריצה והפעלת הכופרה. בנוסף לקבצים המוצפנים, מקבלים הקורבנות פתק כופר בשם how_to_decrypte.hta, האומר להם להתקין דפדפן Tor וליצור קשר עם כתובת ברשת האפלה כדי להתחיל בתהליך הפענוח. מי שמשלם את הכופר מקבל קישור למפענח ומפתח פענוח פרטי בקובץ keys.dat, המאפשר פיענוח קבצים בודדים ותיקיות מלאות.
כופרת Trigona זוהתה לראשונה על ידי MalwareHunterTeam באוקטובר אשתקד. מפעילי Trigona היו אחראים למספר רב של מתקפות כופרה, עם לפחות 190 דרישות כופר מאז תחילת השנה. ידוע כי הקבוצה מקבלת באופן בלעדי תשלומי כופר במטבע הקריפטו Monero. כרגע לא ידוע כמה דורשת הקבוצה.
