Nova porodica ransomware-a nazvana 3AM pojavila se u okruženju prijetnji. Otkriven je u napadu od strane LockBit podružnice koja je pokušala implementirati ransomware kada je LockBit blokiran na ciljanoj mreži.
Detalji
- Počinje korištenjem naredbe gpresult za preuzimanje postavki politike za određeni korisnički sistem.
- Pored toga, hakeri su primijenili nekoliko komponenti Cobalt Strike- a i pokušali da steknu veće privilegije na računaru koristeći PsExec .
- Nakon toga, izvršili su komande kao što su whoami, netstat, quser i net share za potrebe izviđanja.
- Kako bi osigurali postojanost, kreirali su novog korisnika i upotrijebili alat Wput za prijenos datoteka žrtava na njihov FTP server.
- U završnoj fazi, kada je LockBit blokiran u prvom pokušaju, napadači su pribjegli 3AM ransomware-u koji je bio raspoređen na tri sistema na mreži organizacije.
Nomenklatura
Napisan na Rust jeziku, 3AM ransomware je dobio ime po činjenici da dodaje šifrovane datoteke sa ekstenzijom .threeamtime. Uz to, tekst otkupnine spominje ime ransomwarea.
Šta jos?
Ransomware se trenutno koristi u ograničenim napadima. Njegovo tačno porijeklo ostaje nepoznato. Međutim, činjenica da je 3AM ransomware korišten kao rezervni dio od strane LockBit podružnice sugeriše da bi mogao privući interes drugih hakera i da bi se mogao vidjeti u više napada u budućnosti.
Zaključak
3AM je jedna od mnogih porodica ransomware-a napisanih u Rustu. S obzirom na rastuću popularnost ovog jezika među programerima ransomware-a, preporučuje se da organizacije rade na poboljšanju svoje odbrane istražujući IOC povezane s ransomware-om. Osim toga, moderni TIP može optimizovati procese otkrivanja i istrage dok pomaže organizacijama da spriječe takve prijetnje u realnom vremenu.
Izvor: Cyware Alerts – Hacker News