O ransomware é uma ameaça universal para as empresas, tendo como alvo qualquer pessoa que manipule dados confidenciais quando o potencial de lucro é elevado.
Um novo ransomware chamado 3AM surgiu e é usado de maneira limitada. Equipe de caçadores de ameaças da Symantec testemunhado em um único ataque, substituindo o LockBit quando bloqueado.
3AM é um ransomware escrito por Rust completamente inexplorado que encerra serviços, criptografa arquivos e tenta excluir cópias VSS. Contudo, além disso, as suas ligações a grupos de crimes cibernéticos permanecem incertas.
VisĂŁo geral do ataque
As ações iniciais do ator da ameaça incluĂram a execução de ‘gpresult’ para extrair configurações de polĂtica, implantar componentes do Cobalt Strike e tentar escalar privilĂ©gios com PsExec.
Os atacantes realizaram reconhecimento com os seguintes comandos para oportunidades de movimento lateral:-
Eles estabeleceram persistência adicionando um novo usuário e exfiltrando arquivos usando Wput para seu servidor FTP. Os invasores inicialmente tentaram o LockBit, mas depois que ele foi bloqueado, eles passaram para as 3h.
O uso do 3AM foi parcialmente bem-sucedido, pois infectou apenas três das máquinas da organização, com duas delas bloqueando-o com sucesso.
Documento
Bilhete de resgate
3AM recebe o nome da extensĂŁo de arquivo ‘.trĂŞsamtime’ que adiciona aos arquivos criptografados, conforme referenciado na nota de resgate.
O pesquisador de ameaças Ygor Maximo identificou recentemente um site vazado pertencente ao grupo de ransomware 3AM. O site lista atualmente seis vĂtimas que foram vĂtimas das notĂłrias atividades do grupo. Esta descoberta destaca a ameaça cada vez maior representada pelos ataques de ransomware e serve como um lembrete da importância de medidas robustas de segurança cibernĂ©tica para proteger empresas e indivĂduos.
Este ransomware baseado em Rust reconhece os seguintes parâmetros de linha de comando, pois é um executável de 64 bits: –
- “-k”
- “-p”
- “-h”
- “-m”
- “-s”
O malware tenta executar os seguintes comandos após sua execução e tem como alvo principalmente o software de segurança e backup: –
- “netsh.exe” firewall advfirewall definir regra “grupo =” descoberta de rede ”” nova ativação = Sim
- “wbadmin.exe” exclua systemstatebackup -keepVersions:0 -quieto
- “wbadmin.exe” EXCLUIR SYSTEMSTATEBACKUP
- “wbadmin.exe” EXCLUIR SYSTEMSTATEBACKUP -deleteOldest
- “bcdedit.exe” /set {default} recuperação habilitada Não
- “bcdedit.exe” /set {default} polĂtica de status de inicialização ignoreallfailures
- “wmic.exe” SHADOWCOPY DELETE /nointeractive
- “cmd.exe” /c wevtutil cl segurança
- “cmd.exe” /c wevtutil cl sistema
- “cmd.exe” /c aplicativo wevtutil cl
- parada “net” /y vmcomp
- parada “net” /y vmwp
- parada “net” /y veeam
- parada “lĂquida” /y Voltar
- parada “lĂquida” /y xchange
- “net” parar /y backup
- parada “net” /y Backup
- parada “net” /y acronis
- Parada “net” /y AcronisAgent
- Parada “lĂquida” /y AcrSch2Svc
- parada “net” /y sql
- Parada “lĂquida” /y Empresa
- Parada “lĂquida” /y Veeam
- parada “net” /y VeeamTransportSvc
- parada “net” /y VeeamNFSSvc
- Parada “lĂquida” /y AcrSch
- parada “lĂquida” /y bedbg
- parada “net” /y DCAgent
- Parada “lĂquida” /y EPSecurity
- “net” stop /y EPUpdate
- Parada “net” /y Borracha
- parada “net” /y EsgShKernel
- Parada “net” /y FA_Scheduler
- parada “net” /y IISAdmin
- Parada “lĂquida” /y IMAP4
- parada “lĂquida” /y MBAM
- Parada “lĂquida” /y Ponto final
- Parada “lĂquida” /y Afee
- Parada “lĂquida” /y McShield
- tarefa “net” stop /y
- parada “lĂquida” /y mfemms
- parada “net” /y mfevtp
- Parada “lĂquida” /y mms
- Parada “lĂquida” /y MsDts
- Parada “lĂquida” /y Troca
- parada “lĂquida” /y ntrt
- Parada “lĂquida” /y PDVF
- Parada “lĂquida” /y POP3
- Parada “lĂquida” /y RelatĂłrio
- parada “lĂquida” /y RESvc
- parada “net” /y Monitor
- Parada “lĂquida” /y Smcinst
- parada “net” /y SmcService
- parada “net” /y SMTP
- Parada “lĂquida” /y SNAC
- parada “lĂquida” /y swi_
- Parada “lĂquida” /y CCSF
- parada “lĂquida” /y ccEvtMgr
- parada “net” /y ccSetMgr
- Parada “lĂquida” /y TrueKey
- “net” parar /y tmlisten
- Parada “net” /y UIODetect
- Parada “lĂquida” /y W3S
- Parada “lĂquida” /y WRSVC
- parada “net” /y NetMsmq
- parada “lĂquida” /y ekrn
- parada “net” /y EhttpSrv
- Parada “lĂquida” /y ESHASRV
- Parada “lĂquida” /y AVP
- parada “net” /y klnagent
- parada “net” /y wbengine
- Parada “lĂquida” /y KAVF
- parada “net” /y mfefire
- parada “lĂquida” /y svc$
- parada “lĂquida” /y memtas
- parada “net” /y mepocs
- Parada “lĂquida” /y GxVss
- Parada “lĂquida” /y GxCVD
- Parada “lĂquida” /y GxBlr
- Parada “lĂquida” /y GxFWD
- Parada “lĂquida” /y GxCIMgr
- parada “net” /y BackupExecVSSProvider
- Parada “net” /y BackupExecManagementService
- Parada “net” /y BackupExecJobEngine
- Parada “net” /y BackupExecDiveciMediaService
- Parada “net” /y BackupExecAgentBrowser
- parada “net” /y BackupExecAgentAccelerator
- Parada “lĂquida” /y vss
- parada “net” /y BacupExecRPCService
- parada “net” /y CASAD2WebSvc
- parada “net” /y CAARCUpdateSvc
- Parada “net” /y YooBackup
- Parada “net” /y YooIT
A varredura do ransomware criptografa os arquivos correspondentes, exclui os originais e coloca uma nota de resgate ‘RECOVER-FILES.txt’ em cada pasta. AlĂ©m disso, os arquivos criptografados possuem um marcador ‘0x666’ seguido por dados de ransomware.
Os afiliados de ransomware agem de forma mais independente, com alguns implantando várias variedades de ransomware em um Ăşnico ataque. Embora muitas novas famĂlias de ransomware desapareçam rapidamente, 3 O uso da AM como alternativa afiliada do LockBit sugere uma possĂvel relevância futura para os invasores.