Uma nova família de ransomware chamada 3AM foi detectada pela Symantec após um ataque malsucedido contra uma organização. O ransomware foi implantado por um afiliado não identificado da LockBit, um grupo de ransomware conhecido.
O 3AM é escrito em Rust e é uma família de malware completamente nova. Ele tenta interromper vários serviços no computador infectado antes de começar a criptografar os arquivos. Assim que a criptografia for concluída, ele tenta excluir as cópias de shadown volume (VSS).
O ransomware recebe esse nome pelo fato de ser mencionado na nota de resgate. Ele também anexa arquivos criptografados com a extensão .threeamtime. Os autores do malware não têm conexão conhecida com grupos de hackers conhecidos.
No ataque detectado pela Symantec, o ransomware foi implantado em três máquinas da rede da organização. No entanto, ele foi bloqueado em duas das máquinas.
A invasão foi notável por usar o Cobalt Strike para pós-exploração e escalonamento de privilégios. O Cobalt Strike é uma ferramenta de hacking de código aberto que é frequentemente usada por invasores para controlar máquinas comprometidas.
A Symantec também observou que os invasores adicionaram um novo usuário para persistência e usaram a ferramenta Wput para exfiltrar os arquivos das vítimas para seu próprio servidor FTP.
O 3AM é um ransomware relativamente novo, mas tem sido usado por um afiliado da LockBit. Isso sugere que o 3AM pode ser uma ameaça significativa para as organizações.
Comments