Ransomware 3AM escrito em Rust: Uma visão preliminar sobre uma nova família de Malware
13 de Setembro de 2023

Uma nova família de ransomware chamada 3AM surgiu no ambiente digital depois de ser detectada em um único incidente em que um afiliado não identificado implantou a cepa após uma tentativa mal sucedida de implantar o LockBit (também conhecido como Bitwise Spider ou Syrphid) na rede alvo.

"3AM é escrito em Rust e parece ser uma família de malware completamente nova", disse a Equipe de Caça às Ameaças da Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker News.

"O ransomware tenta parar vários serviços no computador infectado antes de começar a criptografar arquivos. Uma vez que a criptografia é concluída, ele tenta deletar as cópias de Volume Shadow (VSS)."

O 3AM recebe seu nome do fato de ser referenciado na nota de resgate. Ele também adiciona aos arquivos criptografados a extensão .threeamtime.

No entanto, ainda não se sabe se os autores deste malware têm alguma conexão com grupos de cibercriminosos conhecidos.

No ataque detectado pela Symantec, aparentemente o adversário conseguiu implantar o ransomware em três máquinas da rede da organização, mas foi bloqueado em duas dessas máquinas.

A intrusão é notável pelo uso do Cobalt Strike para pós-exploração e escalonamento de privilégios, seguido pela execução de comandos de reconhecimento para identificar outros servidores para movimento lateral. A rota de entrada exata empregada no ataque é incerta.

"Eles também adicionaram um novo usuário para persistência e usaram a ferramenta Wput para exfiltrar os arquivos das vítimas para o FTP server deles", observou a Symantec.

Um executável de 64 bits escrito em Rust, o 3AM é projetado para executar uma série de comandos para parar vários softwares de segurança e backup, criptografar arquivos que correspondem a critérios pré-definidos e purgar cópias de sombra de volume.

"Os afiliados de ransomware têm se tornado cada vez mais independentes dos operadores de ransomware", disse a Symantec.

"As novas famílias de ransomware aparecem frequentemente e a maioria desaparece rapidamente ou nunca consegue ganhar tração significativa.

No entanto, o fato de o 3AM ter sido usado como um recurso adicional por um afiliado do LockBit sugere que ele pode ser de interesse para os invasores e poderá ser visto novamente no futuro."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...