Uma nova família de ransomware chamada 3AM surgiu no ambiente digital depois de ser detectada em um único incidente em que um afiliado não identificado implantou a cepa após uma tentativa mal sucedida de implantar o LockBit (também conhecido como Bitwise Spider ou Syrphid) na rede alvo.
"3AM é escrito em Rust e parece ser uma família de malware completamente nova", disse a Equipe de Caça às Ameaças da Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker News.
"O ransomware tenta parar vários serviços no computador infectado antes de começar a criptografar arquivos. Uma vez que a criptografia é concluída, ele tenta deletar as cópias de Volume Shadow (VSS)."
O 3AM recebe seu nome do fato de ser referenciado na nota de resgate. Ele também adiciona aos arquivos criptografados a extensão .threeamtime.
No entanto, ainda não se sabe se os autores deste malware têm alguma conexão com grupos de cibercriminosos conhecidos.
No ataque detectado pela Symantec, aparentemente o adversário conseguiu implantar o ransomware em três máquinas da rede da organização, mas foi bloqueado em duas dessas máquinas.
A intrusão é notável pelo uso do Cobalt Strike para pós-exploração e escalonamento de privilégios, seguido pela execução de comandos de reconhecimento para identificar outros servidores para movimento lateral. A rota de entrada exata empregada no ataque é incerta.
"Eles também adicionaram um novo usuário para persistência e usaram a ferramenta Wput para exfiltrar os arquivos das vítimas para o FTP server deles", observou a Symantec.
Um executável de 64 bits escrito em Rust, o 3AM é projetado para executar uma série de comandos para parar vários softwares de segurança e backup, criptografar arquivos que correspondem a critérios pré-definidos e purgar cópias de sombra de volume.
"Os afiliados de ransomware têm se tornado cada vez mais independentes dos operadores de ransomware", disse a Symantec.
"As novas famílias de ransomware aparecem frequentemente e a maioria desaparece rapidamente ou nunca consegue ganhar tração significativa.
No entanto, o fato de o 3AM ter sido usado como um recurso adicional por um afiliado do LockBit sugere que ele pode ser de interesse para os invasores e poderá ser visto novamente no futuro."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...