Μια νέα οικογένεια ransomware με την ονομασία 3AM έχει εμφανιστεί στον περίπλοκο κόσμο των κυβερνοεπιθέσεων, μετά τον εντοπισμό του σε ένα μόνο περιστατικό, όπου ένας ανώνυμος affiliate εφάρμοσε την απειλή αυτήν μετά από ανεπιτυχή προσπάθεια να παραδοθεί το LockBit (αποδίδεται στους Bitwise Spider ή Syrphid) στο στοχευμένο δίκτυο.
Δείτε επίσης: Microsoft Teams: Μεσίτης πρόσβασης ransomware κλέβει λογαριασμούς μέσω phishing
Το 3AM πήρε το όνομά του από το γεγονός ότι αναφέρεται στο ransom note. Επίσης, προσθέτει κρυπτογραφημένα αρχεία με την κατάληξη .threeamtime. Ωστόσο, επί του παρόντος δεν είναι γνωστό αν οι δημιουργοί του malware έχουν συνδέσεις με γνωστές ομάδες ηλεκτρονικού εγκλήματος.
Στην επίθεση που εντοπίστηκε από τη Symantec, λέγεται ότι ο adversary κατάφερε να εγκαταστήσει το ransomware σε τρία μηχανήματα του δικτύου του οργανισμού, μόνο για να αποκλειστεί σε δύο από αυτά τα μηχανήματα.
Η παραβίαση είναι αξίζει προσοχής για τη χρήση του Cobalt Strike για post-exploitation και ανέλιξη προνομίων, ακολουθώντας με την εκτέλεση εντολών αναγνώρισης για την εντοπισμό άλλων server για πλευρική κίνηση. Η ακριβής διαδρομή εισόδου που χρησιμοποιήθηκε στην επίθεση δεν είναι σαφής.
Δείτε επίσης: Επίθεση ransomware πλήττει την κυβέρνηση της Σρι Λάνκα
Το 3AM είναι ένα εκτελέσιμο αρχείο 64-bit που έχει γραφεί σε Rust και έχει σχεδιαστεί για να εκτελεί μια σειρά εντολών για να διακόψει διάφορα λογισμικά ασφαλείας και backup, να κρυπτογραφήσει αρχεία που ταιριάζουν σε προκαθορισμένα κριτήρια και να διαγράψει volume shadow copies.
Παρόλο που οι ακριβείς καταβολές του ransomware παραμένουν άγνωστες, υπάρχουν αποδείξεις που υποδεικνύουν ότι ο affiliate του ransomware που συνδέθηκε με τη λειτουργία στοχεύει σε άλλες οντότητες, όπως φαίνεται από ένα άρθρο που κοινοποιήθηκε στο Reddit στις 9 Σεπτεμβρίου 2023.
Δείτε επίσης: Η ομάδα ransomware BianLian έκλεψε data από την οργάνωση Save The Children
Νέες οικογένειες κακόβουλου λογισμικού εμφανίζονται συχνά και οι περισσότερες εξαφανίζονται εξίσου γρήγορα ή απλά δεν καταφέρνουν να κερδίσουν σημαντικό έδαφος. Ωστόσο, το γεγονός ότι ο LockBit affiliate χρησιμοποίησε τον όρο “3AM” ως εναλλακτική λύση υποδεικνύει ότι μπορεί να είναι ενδιαφέρον για τους επιτιθέμενους και ίσως να εμφανιστεί ξανά στο μέλλον.
Πηγή πληροφοριών: thehackernews.com