Ново семейство рансъмуер, наречено 3AM, се е появило в дивата природа, след като е било засечено в един инцидент, при който неидентифициран партньор е внедрил щама след неуспешен опит да се достави LockBit (приписван на Bitwise Spider или Syrphid) в целевата мрежа.
„3AM е написан на Rust и изглежда е напълно ново семейство зловреден софтуер“, заяви екипът Symantec Threat Hunter, част от Broadcom, в доклад, споделен с The Hacker News.
„Рансъмуерът се опитва да спре множество услуги на заразения компютър, преди да започне да криптира файлове. След като криптирането завърши, той се опитва да изтрие копията на томовете в сянка (VSS)“.
Името 3AM идва от факта, че се споменава в бележката за откуп. Той също така добавя към криптираните файлове разширение .threeamtime. При това за момента не е известно дали авторите на зловредния софтуер имат някакви връзки с известни групи за електронни престъпления.
В атаката, забелязана от Symantec, се твърди, че противникът е успял да разположи откупния софтуер на три машини в мрежата на организацията, само че той е бил блокиран на две от тези машини.
Нахлуването се отличава с използването на Cobalt Strike за последващо експлоатиране и увеличаване на привилегиите, като след това се изпълняват разузнавателни команди за идентифициране на други сървъри за странично придвижване. Точният маршрут на проникване, използван при атаката, не е ясен.
„Те също така са добавили нов потребител за постоянство и са използвали инструмента Wput, за да ексфилтрират файловете на жертвите към свой собствен FTP сървър“, отбелязват от Symantec.
64-битов изпълним файл, написан на езика Rust, 3AM е проектиран да изпълнява поредица от команди за спиране на различни софтуери, свързани със сигурността и архивирането, за криптиране на файлове, отговарящи на предварително зададени критерии, и за изчистване на сенчести копия на томове.
Макар че точният произход на рансъмуера остава неизвестен, има доказателства, които предполагат, че свързаният с операцията филиал на рансъмуера е насочен към други организации, въз основа на публикация, споделена в Reddit на 9 септември 2023 г.
„Самите ние не сме виждали доказателства, които да предполагат, че този филиал е използвал 3AM отново, но не сме изненадани да видим други съобщения за използването на 3AM“, казва Дик О’Брайън, главен анализатор на разузнаването в Symantec, пред The Hacker News. „Ако опитен филиал на LockBit го използва като свой алтернативен полезен товар, това предполага, че нападателите могат да го разглеждат като надеждна заплаха.“
„Филиалите на рансъмуер стават все по-независими от операторите на рансъмуер“, казват от Symantec.
„Новите семейства рансъмуер се появяват често и повечето от тях изчезват също толкова бързо или никога не успяват да наберат значителна популярност. Въпреки това фактът, че 3AM е бил използван като резервен вариант от филиал на LockBit, предполага, че той може да представлява интерес за нападателите и може да бъде видян отново в бъдеще.“