Recientemente se descubrió una nueva cepa de ransomware llamada 3AM después de que un actor de amenazas la usara en un ataque en el que inicialmente no logró implementar LockBit ransomware en una red objetivo.
Los investigadores de Symantec dijeron que el nuevo malware «sólo se ha utilizado de forma limitada y fue una alternativa de un afiliado de ransomware cuando los mecanismos de defensa bloquearon LockBit». El equipo de Symantec dice que 3AM está escrito en Rust y parece no tener relación con ninguna familia de ransomware conocida, lo que lo convierte en un malware completamente nuevo.
Por ahora, los ataques que utilizan el ransomware 3AM son raros pero la extorsión de este ransomware sigue la tendencia común de robar datos antes de cifrarlos y enviar una nota de rescate amenazando con vender la información robada a menos que se le pague al atacante.
La operación tiene un sitio de negociación muy básico en la red TOR que solo brinda acceso a una ventana de chat de negociación basada en una clave de acceso proporcionada en la nota de rescate.
Antes de comenzar a cifrar archivos, 3AM intenta detener múltiples servicios que se ejecutan en el sistema infectado para diversos productos de seguridad y respaldo de proveedores como Veeam, Acronis, Ivanti, McAfee o Symantec.
Una vez que se completa el proceso de cifrado, los archivos tienen la extensión .THREEAMTIME y el malware también intenta eliminar instantáneas de volumen que podrían usarse para recuperar los datos.
Los investigadores dicen que un ataque de este ransomware está precedido por el uso de un comando «gpresult» que vuelca la configuración de políticas del sistema para un usuario específico. «El atacante también ejecutó varios componentes de Cobalt Strike e intentó escalar privilegios en la computadora usando PsExec».
Los investigadores observaron el uso de comandos comúnmente utilizados para reconocimiento (por ejemplo, whoami, netstat, quser y net share), enumerar servidores (por ejemplo, quser, net view), agregar un nuevo usuario para persistencia y el uso del antiguo cliente FTP wput para copiar archivos al servidor del atacante.
Según el análisis de malware de Symantec, el ejecutable de 64 bits basado en 3AM Rust reconoce los siguientes parámetros de línea de comandos:
- «-k» – 32 Base64 characters, the «access key» in the ransom note
- «-p» – unknown
- «-h» – unknown
- «-m» – method, where the code checks one of two values before running encryption logic:»local»
- «net»
- «-s» – determines offsets within files for encryption to control encryption speed, expressed as decimal digits.
Aunque los investigadores ven con frecuencia nuevas familias de ransomware, pocas de ellas ganan suficiente popularidad como para convertirse en una operación estable. Dado que 3AM se utilizó como alternativa a LockBit, es probable que atraiga el interés de otros atacantes y se utilice con más frecuencia.
Los investigadores dicen que el actor de amenazas pudo implementar el malware sólo en tres máquinas de la organización objetivo y su actividad fue bloqueada en dos de los sistemas, lo que demuestra que ya existen defensas contra él.
Fuente y redacción: segu-info.com.ar
