Търсене
Close this search box.

3AM Ransomware: Поглед към ново семейство зловреден софтуер

Ново семейство рансъмуер, наречено 3AM, се е появило в дивата природа, след като е било засечено в един инцидент, при който неидентифициран партньор е внедрил щама след неуспешен опит да се достави LockBit (приписван на Bitwise Spider или Syrphid) в целевата мрежа.

„3AM е написан на Rust и изглежда е напълно ново семейство зловреден софтуер“, заяви екипът Symantec Threat Hunter, част от Broadcom, в доклад, споделен с The Hacker News.

„Рансъмуерът се опитва да спре множество услуги на заразения компютър, преди да започне да криптира файлове. След като криптирането завърши, той се опитва да изтрие копията на томовете в сянка (VSS)“.

Името 3AM идва от факта, че се споменава в бележката за откуп. Той също така добавя към криптираните файлове разширение .threeamtime. При това за момента не е известно дали авторите на зловредния софтуер имат някакви връзки с известни групи за електронни престъпления.

В атаката, забелязана от Symantec, се твърди, че противникът е успял да разположи откупния софтуер на три машини в мрежата на организацията, само че той е бил блокиран на две от тези машини.

Нахлуването се отличава с използването на Cobalt Strike за последващо експлоатиране и увеличаване на привилегиите, като след това се изпълняват разузнавателни команди за идентифициране на други сървъри за странично придвижване. Точният маршрут на проникване, използван при атаката, не е ясен.

„Те също така са добавили нов потребител за постоянство и са използвали инструмента Wput, за да ексфилтрират файловете на жертвите към свой собствен FTP сървър“, отбелязват от Symantec.

64-битов изпълним файл, написан на езика Rust, 3AM е проектиран да изпълнява поредица от команди за спиране на различни софтуери, свързани със сигурността и архивирането, за криптиране на файлове, отговарящи на предварително зададени критерии, и за изчистване на сенчести копия на томове.

Макар че точният произход на рансъмуера остава неизвестен, има доказателства, които предполагат, че свързаният с операцията филиал на рансъмуера е насочен към други организации, въз основа на публикация, споделена в Reddit на 9 септември 2023 г.

„Самите ние не сме виждали доказателства, които да предполагат, че този филиал е използвал 3AM отново, но не сме изненадани да видим други съобщения за използването на 3AM“, казва Дик О’Брайън, главен анализатор на разузнаването в Symantec, пред The Hacker News. „Ако опитен филиал на LockBit го използва като свой алтернативен полезен товар, това предполага, че нападателите могат да го разглеждат като надеждна заплаха.“

„Филиалите на рансъмуер стават все по-независими от операторите на рансъмуер“, казват от Symantec.

„Новите семейства рансъмуер се появяват често и повечето от тях изчезват също толкова бързо или никога не успяват да наберат значителна популярност. Въпреки това фактът, че 3AM е бил използван като резервен вариант от филиал на LockBit, предполага, че той може да представлява интерес за нападателите и може да бъде видян отново в бъдеще.“

 

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
Бъдете социални
Още по темата
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
18/04/2024

Akira ransomware е събрала ...

Според съвместна препоръка на ФБР, CISA,...
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!