Аналитики из команды Symantec Threat Hunter рассказывают о новом шифровальщике 3AM, который использовался злоумышленниками, когда им не удалось развернуть вымогателя LockBit в целевой сети.
В своем отчете специалисты отмечают, что «вредоносное ПО использовалось ограниченным образом» и его атаки весьма редки. Похоже, малварь была запасным вариантом для злоумышленников, на тот случай, если защитные механизмы заблокируют LockBit. Во всяком случае, именно такой сценарий использования наблюдали эксперты.
Интересно, что в той атаке операторам 3AM удалось добиться лишь частичного успеха: им удалось развернуть малварь только на трех компьютерах в целевой организации, но активность шифровальщика была заблокирована на двух из них.
3AM написан на Rust и не связан с другими известными семействами вымогателей, то есть это совершенно новая малварь. Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб и продуктов, связанных с безопасностью и резервным копированием (включая решения Veeam, Acronis, Ivanti, McAfee и Symantec).
После завершения шифрования файлы получают расширение .THREEAMTIME, и вымогатель пытается удалить теневые копии, которые можно было бы использовать для восстановления данных.
Как и другие вымогатели, 3AM следует общему тренду и перед началом шифрования похищает данные из систем компании-жертвы, а затем угрожает продать украденную информацию, если не будет выплачен выкуп.
Исследователи отмечают, что атаке 3AM предшествовало использование команды gpresult, которая позволяет получить настройки системных политик для конкретного пользователя. Также известно, что злоумышленники запускали различные компоненты Cobalt Strike и пытались повысить свои привилегии с помощью PsExec.
«[Операторы 3AM] также добавили нового пользователя, чтобы закрепиться в системе и использовали инструмент Wput для передачи файлов жертв на собственный FTP-сервер», — отмечают в Symantec.
Специалисты резюмируют, что пока был зафиксирован лишь один случай использования 3AM, но их не удивит, если в скором будущем вредонос станет применяться более широко.
«Если опытный партнер LockBit использует его в качестве альтернативной полезной нагрузки, это говорит о том, что [другие] злоумышленники так же могут рассматривать его как серьезную угрозу, — считают специалисты. — Новые семейства программ-вымогателей появляются часто, и большинство из них так же быстро исчезают, или им не удается достичь заметной популярности. Однако тот факт, что 3AM использовался в качестве запасного варианта операторами LockBit, предполагает, что он может представлять интерес для злоумышленников и в будущем может появиться вновь».