NotĂ­cias de dispositivos mĂłveis, gadgets, aplicativos Android

Ataque de ransomware às 3h da manhã – Interrompa os serviços e bloqueie Exclua cópias de sombra antes de criptografar

O ransomware é uma ameaça universal para as empresas, tendo como alvo qualquer pessoa que manipule dados confidenciais quando o potencial de lucro é elevado.

Um novo ransomware chamado 3AM surgiu e é usado de maneira limitada. Equipe de caçadores de ameaças da Symantec testemunhado em um único ataque, substituindo o LockBit quando bloqueado.

3AM é um ransomware escrito por Rust completamente inexplorado que encerra serviços, criptografa arquivos e tenta excluir cópias VSS. Contudo, além disso, as suas ligações a grupos de crimes cibernéticos permanecem incertas.

VisĂŁo geral do ataque

As ações iniciais do ator da ameaça incluĂ­ram a execução de ‘gpresult’ para extrair configurações de polĂ­tica, implantar componentes do Cobalt Strike e tentar escalar privilĂ©gios com PsExec.

Os atacantes realizaram reconhecimento com os seguintes comandos para oportunidades de movimento lateral:-

Eles estabeleceram persistência adicionando um novo usuário e exfiltrando arquivos usando Wput para seu servidor FTP. Os invasores inicialmente tentaram o LockBit, mas depois que ele foi bloqueado, eles passaram para as 3h.

O uso do 3AM foi parcialmente bem-sucedido, pois infectou apenas três das máquinas da organização, com duas delas bloqueando-o com sucesso.

Documento

Bilhete de resgate

3AM recebe o nome da extensĂŁo de arquivo ‘.trĂŞsamtime’ que adiciona aos arquivos criptografados, conforme referenciado na nota de resgate.

O pesquisador de ameaças Ygor Maximo identificou recentemente um site vazado pertencente ao grupo de ransomware 3AM. O site lista atualmente seis vítimas que foram vítimas das notórias atividades do grupo. Esta descoberta destaca a ameaça cada vez maior representada pelos ataques de ransomware e serve como um lembrete da importância de medidas robustas de segurança cibernética para proteger empresas e indivíduos.

NĂłs recomendamos:  CISA observou aumento em ataques de Conti Ransomware direcionados a mais de 400 organizações dos EUA e internacionais

Este ransomware baseado em Rust reconhece os seguintes parâmetros de linha de comando, pois é um executável de 64 bits: –

  • “-k”
  • “-p”
  • “-h”
  • “-m”
  • “-s”

O malware tenta executar os seguintes comandos após sua execução e tem como alvo principalmente o software de segurança e backup: –

  • “netsh.exe” firewall advfirewall definir regra “grupo =” descoberta de rede ”” nova ativação = Sim
  • “wbadmin.exe” exclua systemstatebackup -keepVersions:0 -quieto
  • “wbadmin.exe” EXCLUIR SYSTEMSTATEBACKUP
  • “wbadmin.exe” EXCLUIR SYSTEMSTATEBACKUP -deleteOldest
  • “bcdedit.exe” /set {default} recuperação habilitada NĂŁo
  • “bcdedit.exe” /set {default} polĂ­tica de status de inicialização ignoreallfailures
  • “wmic.exe” SHADOWCOPY DELETE /nointeractive
  • “cmd.exe” /c wevtutil cl segurança
  • “cmd.exe” /c wevtutil cl sistema
  • “cmd.exe” /c aplicativo wevtutil cl
  • parada “net” /y vmcomp
  • parada “net” /y vmwp
  • parada “net” /y veeam
  • parada “lĂ­quida” /y Voltar
  • parada “lĂ­quida” /y xchange
  • “net” parar /y backup
  • parada “net” /y Backup
  • parada “net” /y acronis
  • Parada “net” /y AcronisAgent
  • Parada “lĂ­quida” /y AcrSch2Svc
  • parada “net” /y sql
  • Parada “lĂ­quida” /y Empresa
  • Parada “lĂ­quida” /y Veeam
  • parada “net” /y VeeamTransportSvc
  • parada “net” /y VeeamNFSSvc
  • Parada “lĂ­quida” /y AcrSch
  • parada “lĂ­quida” /y bedbg
  • parada “net” /y DCAgent
  • Parada “lĂ­quida” /y EPSecurity
  • “net” stop /y EPUpdate
  • Parada “net” /y Borracha
  • parada “net” /y EsgShKernel
  • Parada “net” /y FA_Scheduler
  • parada “net” /y IISAdmin
  • Parada “lĂ­quida” /y IMAP4
  • parada “lĂ­quida” /y MBAM
  • Parada “lĂ­quida” /y Ponto final
  • Parada “lĂ­quida” /y Afee
  • Parada “lĂ­quida” /y McShield
  • tarefa “net” stop /y
  • parada “lĂ­quida” /y mfemms
  • parada “net” /y mfevtp
  • Parada “lĂ­quida” /y mms
  • Parada “lĂ­quida” /y MsDts
  • Parada “lĂ­quida” /y Troca
  • parada “lĂ­quida” /y ntrt
  • Parada “lĂ­quida” /y PDVF
  • Parada “lĂ­quida” /y POP3
  • Parada “lĂ­quida” /y RelatĂłrio
  • parada “lĂ­quida” /y RESvc
  • parada “net” /y Monitor
  • Parada “lĂ­quida” /y Smcinst
  • parada “net” /y SmcService
  • parada “net” /y SMTP
  • Parada “lĂ­quida” /y SNAC
  • parada “lĂ­quida” /y swi_
  • Parada “lĂ­quida” /y CCSF
  • parada “lĂ­quida” /y ccEvtMgr
  • parada “net” /y ccSetMgr
  • Parada “lĂ­quida” /y TrueKey
  • “net” parar /y tmlisten
  • Parada “net” /y UIODetect
  • Parada “lĂ­quida” /y W3S
  • Parada “lĂ­quida” /y WRSVC
  • parada “net” /y NetMsmq
  • parada “lĂ­quida” /y ekrn
  • parada “net” /y EhttpSrv
  • Parada “lĂ­quida” /y ESHASRV
  • Parada “lĂ­quida” /y AVP
  • parada “net” /y klnagent
  • parada “net” /y wbengine
  • Parada “lĂ­quida” /y KAVF
  • parada “net” /y mfefire
  • parada “lĂ­quida” /y svc$
  • parada “lĂ­quida” /y memtas
  • parada “net” /y mepocs
  • Parada “lĂ­quida” /y GxVss
  • Parada “lĂ­quida” /y GxCVD
  • Parada “lĂ­quida” /y GxBlr
  • Parada “lĂ­quida” /y GxFWD
  • Parada “lĂ­quida” /y GxCIMgr
  • parada “net” /y BackupExecVSSProvider
  • Parada “net” /y BackupExecManagementService
  • Parada “net” /y BackupExecJobEngine
  • Parada “net” /y BackupExecDiveciMediaService
  • Parada “net” /y BackupExecAgentBrowser
  • parada “net” /y BackupExecAgentAccelerator
  • Parada “lĂ­quida” /y vss
  • parada “net” /y BacupExecRPCService
  • parada “net” /y CASAD2WebSvc
  • parada “net” /y CAARCUpdateSvc
  • Parada “net” /y YooBackup
  • Parada “net” /y YooIT
NĂłs recomendamos:  O que Ă© ataque de spear phishing? – Guia de motivos, tĂ©cnicas e habilidades MĂ©todos de prevenção

A varredura do ransomware criptografa os arquivos correspondentes, exclui os originais e coloca uma nota de resgate ‘RECOVER-FILES.txt’ em cada pasta. AlĂ©m disso, os arquivos criptografados possuem um marcador ‘0x666’ seguido por dados de ransomware.

Os afiliados de ransomware agem de forma mais independente, com alguns implantando várias variedades de ransomware em um único ataque. Embora muitas novas famílias de ransomware desapareçam rapidamente, 3 O uso da AM como alternativa afiliada do LockBit sugere uma possível relevância futura para os invasores.

COIs

Table of Contents