После неудачной установки вымогателя LockBit, хакер развернул 3AM, который привлёк исследователей.
Специалисты компании Symantec описали новое семейство программ-вымогателей под названием 3AM, обнаруженное в единственном инциденте, в котором неопознанный хакер развернул штамм после неудачной попытки установить программу-вымогатель LockBit в целевой сети.
Команда Symantec Threat Hunter Team заявляет, что 3AM написан на Rust и представляет собой совершенно новое семейство вредоносных программ. Программа-вымогатель пытается остановить несколько служб на зараженном компьютере, прежде чем она начнет шифровать файлы. После завершения шифрования 3AM удаляет теневые копии тома (Volume Shadow Copy, VSS).
Вымогатель 3AM получил свое название из-за того, что он упоминается в записке о выкупе, об этом есть пост в Reddit . 3AM также добавляет зашифрованные файлы с расширением «.threeamtime». В настоящее время неизвестно, имеют ли авторы вредоносного ПО какие-либо связи с известными группировками.
Сообщается, что в ходе обнаруженной атаки злоумышленнику удалось установить программу-вымогатель на трех машинах в сети организации, но на двух из этих машин она была заблокирована.
Затем киберпреступники использовали Cobalt Strike для последующей эксплуатации и повышения привилегий, а также в целях разведки для идентификации других серверов для дальнейшего перемещения. Точный маршрут проникновения, использованный при атаке, неясен.
Кроме того, хакеры добавили нового пользователя для обеспечения устойчивости и использовали инструмент Wput для передачи файлов жертв на свой собственный FTP-сервер.
64-битный исполняемый файл 3AM, написанный на Rust, предназначен для запуска ряда команд для остановки различного ПО, связанного с безопасностью и резервным копированием, а также для шифрования файлов, соответствующих заранее определенным критериям.
Хотя точное происхождение программы-вымогателя остается неизвестным, согласно сообщению на Reddit, есть свидетельства того, что штамм 3AM, связанный с обнаруженной кампанией, атакует еще несколько других организаций.
В Symantec отметили, что новые семейства программ-вымогателей появляются часто, и большинство из них так же быстро исчезают, либо им так и не удается получить значительную популярность. Однако тот факт, что 3AM использовался в качестве запасного варианта партнёром LockBit, позволяет предположить, что он может представлять интерес для злоумышленников и может быть замечен снова в будущем.
Никаких овечек — только отборные научные факты