Il Threat Hunter Team di Symantec ha scoperto una nuova famiglia di ransomware, chiamata 3AM. Finora il ransomware è stato utilizzato solo in modo limitato: in un singolo attacco in cui gli attaccanti hanno inizialmente tentato di distribuire il ransomware LockBit, ma quando questo è stato bloccato, sono ricorsi a 3AM.
3AM è scritto in Rust e sembra essere una famiglia di malware completamente nuova. Prima di iniziare a crittografare i file, il ransomware tenta di interrompere più servizi sul computer infetto. Una volta completata la crittografia, tenta di eliminare le copie Shadow del volume (VSS). 3AM è così chiamato perché aggiunge ai file crittografati l’estensione .threeamtime.
La prima attività sospetta prevedeva l’uso del comando gpresult per scaricare le impostazioni dei criteri applicati sul computer per un utente specifico. Gli attaccanti hanno inoltre eseguito diversi componenti di Cobalt Strike e hanno cercato di aumentare i privilegi sul computer utilizzando PsExec.
Gli autori hanno quindi eseguito comandi di ricognizione come whoami, netstat, quser e net share e hanno provato a enumerare altri server per lo spostamento laterale con i comandi quser e net view, aggiungendo anche un nuovo utente per la persistenza e utilizzando lo strumento Wput per esfiltrare i file delle vittime sul proprio server FTP. Il ransomware è un eseguibile a 64 bit che supporta più comandi per impedire alle applicazioni di eseguire backup e software di sicurezza e crittografa solo i file che corrispondono a criteri predefiniti.
Gli aggressori sono riusciti a distribuire 3AM solo su tre macchine della rete dell’organizzazione presa di mira ed è stato bloccato su due di questi tre computer.
Al momento non è ancora chiaro se i suoi autori abbiano collegamenti con note organizzazioni cybercriminali.
“Gli affiliati di ransomware sono diventati sempre più indipendenti dagli operatori di ransomware e questa non è la prima volta che Symantec vede un utente malintenzionato tentare di distribuire due diversi tipi di ransomware in un unico attacco. Nuove famiglie di ransomware appaiono frequentemente e la maggior parte scompare altrettanto rapidamente o non riesce mai a guadagnare una popolarità significativa. Tuttavia, il fatto che 3AM sia stato utilizzato come fallback da un affiliato di LockBit suggerisce che potrebbe interessare agli aggressori e potrebbe essere visto di nuovo in futuro”, conclude Symantec.
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit
https://securityaffairs.com/150784/malware/3am-ransomware.html
