Новое семейство программ-вымогателей под названием 3AM появилось в дикой природе после того, как оно было обнаружено в одном инциденте, в котором неизвестный филиал внедрил штамм после неудачной попытки доставить LockBit (приписываемый Bitwise Spider или Syrphid) в целевой сети.
"3AM написана на Rust и, похоже, представляет собой совершенно новое семейство вредоносных программ", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom, которым поделилась The Hacker News.
"Программа-вымогатель пытается остановить несколько служб на зараженном компьютере, прежде чем приступить к шифрованию файлов. После завершения шифрования она пытается удалить копии теневых томов (VSS)".
Программа 3AM получила свое название из-за того факта, что на нее есть ссылка в записке о выкупе. Она также добавляет зашифрованные файлы с расширением .threeam time. Тем не менее, в настоящее время неизвестно, связаны ли авторы вредоносного ПО с известными группами электронной преступности.
В ходе атаки, обнаруженной Symantec, злоумышленнику, как утверждается, удалось внедрить программу-вымогатель на три компьютера в сети организации, но только для того, чтобы она была заблокирована на двух из этих компьютеров.
Вторжение примечательно использованием Cobalt Strike для последующей эксплуатации и повышения привилегий, после чего выполняются разведывательные команды для определения других серверов на предмет бокового перемещения. Точный маршрут проникновения, использованный при атаке, неясен.
"Они также добавили нового пользователя для сохранения и использовали инструмент Wput для переноса файлов жертв на свой собственный FTP-сервер", - отметили в Symantec.
64-разрядный исполняемый файл 3AM, написанный на Rust, разработан для запуска серии команд для остановки различного программного обеспечения, связанного с безопасностью и резервным копированием, шифрования файлов, соответствующих предопределенным критериям, и удаления теневых копий тома.
Хотя точное происхождение программы-вымогателя остается неизвестным, есть основания полагать, что аффилированная с операцией программа-вымогатель нацелена на другие организации, основываясь на сообщении, опубликованном на Reddit 9 сентября 2023 года.
"Мы сами не видели никаких доказательств того, что этот партнер снова использовал 3AM, но мы не удивлены, увидев другие сообщения об использовании 3AM", - сказал The Hacker News Дик О'Брайен, главный аналитик разведки Symantec. "Если опытный партнер LockBit использует ее в качестве альтернативной полезной нагрузки, это наводит на мысль, что злоумышленники могут рассматривать ее как реальную угрозу".
"Филиалы программ-вымогателей становятся все более независимыми от операторов программ-вымогателей", - заявили в Symantec.
"Новые семейства программ-вымогателей появляются часто, и большинство из них исчезают так же быстро или никогда не успевают получить значительного распространения. Однако тот факт, что партнерская программа LockBit использовала 3AM в качестве запасного варианта, наводит на мысль, что она может представлять интерес для злоумышленников и может появиться снова в будущем".
"3AM написана на Rust и, похоже, представляет собой совершенно новое семейство вредоносных программ", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom, которым поделилась The Hacker News.
"Программа-вымогатель пытается остановить несколько служб на зараженном компьютере, прежде чем приступить к шифрованию файлов. После завершения шифрования она пытается удалить копии теневых томов (VSS)".
Программа 3AM получила свое название из-за того факта, что на нее есть ссылка в записке о выкупе. Она также добавляет зашифрованные файлы с расширением .threeam time. Тем не менее, в настоящее время неизвестно, связаны ли авторы вредоносного ПО с известными группами электронной преступности.
В ходе атаки, обнаруженной Symantec, злоумышленнику, как утверждается, удалось внедрить программу-вымогатель на три компьютера в сети организации, но только для того, чтобы она была заблокирована на двух из этих компьютеров.
Вторжение примечательно использованием Cobalt Strike для последующей эксплуатации и повышения привилегий, после чего выполняются разведывательные команды для определения других серверов на предмет бокового перемещения. Точный маршрут проникновения, использованный при атаке, неясен.
"Они также добавили нового пользователя для сохранения и использовали инструмент Wput для переноса файлов жертв на свой собственный FTP-сервер", - отметили в Symantec.
64-разрядный исполняемый файл 3AM, написанный на Rust, разработан для запуска серии команд для остановки различного программного обеспечения, связанного с безопасностью и резервным копированием, шифрования файлов, соответствующих предопределенным критериям, и удаления теневых копий тома.
Хотя точное происхождение программы-вымогателя остается неизвестным, есть основания полагать, что аффилированная с операцией программа-вымогатель нацелена на другие организации, основываясь на сообщении, опубликованном на Reddit 9 сентября 2023 года.
"Мы сами не видели никаких доказательств того, что этот партнер снова использовал 3AM, но мы не удивлены, увидев другие сообщения об использовании 3AM", - сказал The Hacker News Дик О'Брайен, главный аналитик разведки Symantec. "Если опытный партнер LockBit использует ее в качестве альтернативной полезной нагрузки, это наводит на мысль, что злоумышленники могут рассматривать ее как реальную угрозу".
"Филиалы программ-вымогателей становятся все более независимыми от операторов программ-вымогателей", - заявили в Symantec.
"Новые семейства программ-вымогателей появляются часто, и большинство из них исчезают так же быстро или никогда не успевают получить значительного распространения. Однако тот факт, что партнерская программа LockBit использовала 3AM в качестве запасного варианта, наводит на мысль, что она может представлять интерес для злоумышленников и может появиться снова в будущем".
