Команда Symantec Threat Hunter обнаружила новое семейство программ-вымогателей (ransomware) под названием 3AM, которое на сегодняшний день было обнаружено только в одном инциденте, в котором хакерам не удалось реализовать программу-вымогатель LockBit.
Злоумышленникам удалось развернуть программу-вымогатель на трёх компьютерах в сети целевой организации, но на двух из них она была заблокирована.
3AM – это новая программа-вымогатель, написанная на языке Rust. Перед началом процесса шифрования программа пытается остановить несколько служб. После завершения шифрования файлов 3AM пытается удалить теневые копии тома (VSS). К именам зашифрованных файлов вредоносная программа добавляет расширение .threeamtime. Исследователям еще предстоит выяснить, связаны ли создатели 3AM с известными киберпреступными группировками.
Вторжение примечательно тем, что для повышения привилегий использовался Cobalt Strike, после чего злоумышленники попытались выполнить “разведывательные” команды whoami, netstat, quser и net share. Точный маршрут проникновения, использованный в атаке, пока не определён.
Злоумышленники попытались сохранить устойчивость, добавив нового пользователя, и использовали инструмент Wput для передачи файлов на свой FTP-сервер.
3AM представляет собой 64-битный исполняемый файл, который поддерживает несколько команд для остановки приложений для выполнения резервного копирования и программных средств защиты.
3AM шифрует файлы, которые соответствуют заранее заданным критериям (критерии не уточняются).
Портал Tor “Support” для 3AM, который используется операторами для согласования с жертвами требований о выкупе.
Новые семейства программ-вымогателей появляются часто, но большинство из них так же быстро исчезают или не успевают набрать значительную популярность. Однако тот факт, что 3AM использовался в качестве запасного варианта LockBit, говорит о том, что он может представлять интерес для злоумышленников и в будущем может появиться вновь.
Материалы: Thehackernews.com (THN)