Ένας affiliate της ransomware συμμορίας 3AM φαίνεται να αξιοποιεί πολύπλοκες τεχνικές κοινωνικής μηχανικής για να διεισδύσει σε εταιρικά δίκτυα, συνδυάζοντας email bombing, τηλεφωνικές απάτες υποστήριξης IT και εργαλεία απομακρυσμένης πρόσβασης. Στόχος του είναι να αποσπάσει διαπιστευτήρια από ανυποψίαστους υπαλλήλους.
Αυτές οι τεχνικές —που είχαν προηγουμένως εντοπιστεί σε επιθέσεις από τις ομάδες Black Basta και FIN7 — φαίνεται να υιοθετούνται όλο και πιο συχνά, καθώς αποδεικνύονται ιδιαίτερα αποτελεσματικές.
Σύμφωνα με αναφορά της Sophos, τουλάχιστον 55 περιστατικά τέτοιου τύπου καταγράφηκαν μεταξύ Νοεμβρίου 2024 και Ιανουαρίου 2025, συνδεόμενα με δύο διαφορετικά clusters απειλών. Οι επιθέσεις μιμούνταν τη μεθοδολογία της Black Basta και περιελάμβαναν email bombing, vishing μέσω Microsoft Teams και κατάχρηση του εργαλείου Quick Assist της Microsoft.
Δείτε επίσης: VanHelsing ransomware-as-a-service: Διαρροή του source code
Καθοριστικό ρόλο στην εξάπλωση αυτών των τεχνικών φέρεται να έπαιξε η διαρροή εσωτερικών συνομιλιών της Black Basta, οι οποίες περιείχαν έτοιμα σενάρια phishing και οδηγίες για παραπλάνηση μέσω Microsoft Teams (ως «ψεύτικο helpdesk»).
3AM ransomware: Νέες μορφές επίθεσης
Κατά το πρώτο τρίμηνο του 2025, μία από αυτές τις επιθέσεις, που είχε ως στόχο πελάτη της Sophos, χρησιμοποίησε μια παραλλαγή του παραπάνω μοντέλου επίθεσης, αποφεύγοντας το Teams και επιλέγοντας πραγματική φωνητική εξαπάτηση (vishing) μέσω τηλεφώνου.
Η κλήση φαινόταν να έρχεται από τον αριθμό τηλεφώνου του πραγματικού τμήματος IT της εταιρείας-στόχου. Το τηλεφώνημα συνέπεσε με κύμα spam email — 24 μηνύματα στάλθηκαν σε διάστημα μόλις τριών λεπτών — για να ενισχύσουν την αίσθηση επείγουσας ανάγκης.
Ο υπάλληλος παραπλανήθηκε να ανοίξει το Microsoft Quick Assist και να δώσει απομακρυσμένη πρόσβαση, πιστεύοντας πως αντιμετωπίζει απειλή. Μέσω αυτής της πρόσβασης, ο επιτιθέμενος κατέβασε κακόβουλο λογισμικό από ψεύτικο domain, το οποίο περιλάμβανε VBS script, emulator QEMU και Windows 7 image με προεγκατεστημένο το QDoor backdoor.
Δείτε επίσης: KeePass: Ψεύτικη έκδοση οδηγεί σε μόλυνση με ransomware
Οι κυβερνοεγκληματίες αξιοποίησαν το QEMU για να παρακάμψουν μηχανισμούς ανίχνευσης. Δημιούργησαν εικονικές μηχανές με σκοπό να διοχετεύουν το network traffic με τρόπο που εξασφάλιζε μόνιμη αλλά μη ανιχνεύσιμη πρόσβαση στην εταιρική υποδομή.
Μέσω αυτής της υποδομής, οι εισβολείς προχώρησαν σε reconnaissance με εργαλεία όπως WMIC και PowerShell, δημιούργησαν τοπικό λογαριασμό διαχειριστή για πρόσβαση μέσω RDP, εγκατέστησαν το εμπορικό εργαλείο απομακρυσμένης διαχείρισης XEOXRemote, και τελικά παραβίασαν ένα domain administrator account.
Παρά τις ενεργές παρεμβάσεις των εργαλείων της Sophos, τα οποία περιόρισαν τις κινήσεις των εισβολέων εντός του δικτύου και απέτρεψαν απόπειρες απενεργοποίησης των αμυνών, οι κυβερνοεγκληματίες κατάφεραν να εξάγουν 868 GB δεδομένων αξιοποιώντας το GoodSync.
Η απόπειρα ενεργοποίησης του ransomware 3AM εντοπίστηκε και αποκλείστηκε έγκαιρα, περιορίζοντας τη ζημιά μόνο στην κλοπή δεδομένων και την κρυπτογράφηση ενός μόνο κεντρικού υπολογιστή.
Η διάρκεια και οι άμυνες
Η επίθεση διήρκεσε συνολικά εννέα ημέρες, με τη μαζική εξαγωγή δεδομένων να ολοκληρώνεται ήδη από την τρίτη ημέρα. Οι δράστες επιχειρούσαν περαιτέρω κινήσεις, αλλά οι αμυντικοί μηχανισμοί τους ανέκοψαν.
Η Sophos, στο πλαίσιο της ανάλυσής της, προτείνει συγκεκριμένα μέτρα προστασίας για την πρόληψη παρόμοιων επιθέσεων:
- Έλεγχος διαχειριστικών λογαριασμών για αδύναμα σημεία.
- Χρήση εργαλείων XDR (Extended Detection and Response) για τον εντοπισμό και τον αποκλεισμό μη εξουσιοδοτημένων εφαρμογών όπως QEMU και GoodSync.
- Επιβολή πολιτικής PowerShell που επιτρέπει μόνο υπογεγραμμένα scripts.
- Δημιουργία blacklists βάσει δεικτών παραβίασης (IOCs) για γνωστές κακόβουλες διευθύνσεις, domains και αρχεία.
Τέλος, υπογραμμίζεται ότι η εκπαίδευση προσωπικού είναι ο πιο κρίσιμος παράγοντας άμυνας απέναντι σε phishing emails και τηλεφωνικές επιθέσεις vishing, που συνεχίζουν να αποτελούν βασική τεχνική διείσδυσης.
Η ομάδα 3AM ransomware εμφανίστηκε στα τέλη του 2023 και, σύμφωνα με ειδικούς, διατηρεί δεσμούς με τις γνωστές συμμορίες Conti και Royal.
Δείτε επίσης: Ransomware συμμορίες χρησιμοποιούν το Skitnet malware
Γενικά tips για προστασία από ransomware
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποίηση firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυο
- Κρυπτογράφηση ευαίσθητων δεδομένων
- Ενημέρωση των συσκευών και των συστημάτων με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξαγωγή τακτικών ελέγχων ασφαλείας και penetration testing
- Χρήση ισχυρών, μοναδικών κωδικών πρόσβασης
- Περιορισμός της πρόσβασης των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Χρήση λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Σχέδιο ανάκαμψης για γρήγορη αποκατάσταση
Πηγή: www.bleepingcomputer.com
