Una nueva familia de ransomware llamada 3AM ha aparecido en la naturaleza después de ser detectada en un incidente único en el que un afiliado no identificado desplegó la cepa después de un intento fallido de entregar LockBit (atribuido a Bitwise Spider o Syrphid) en la red objetivo.
"3AM está escrito en Rust y parece ser una familia de malware completamente nueva", dijo el equipo de Symantec Threat Hunter, parte de Broadcom, en un informe compartido con The Hacker News.
"El ransomware intenta detener varios servicios en la computadora infectada antes de comenzar a cifrar archivos. Una vez que se completa la encriptación, intenta eliminar las copias de Volume Shadow (VSS)".
3AM recibe su nombre del hecho de que se hace referencia a él en la nota de rescate. También agrega la extensión .threeamtime a los archivos encriptados. Dicho esto, actualmente no se sabe si los autores del malware tienen conexiones con grupos de ciberdelincuentes conocidos.
En el ataque detectado por Symantec, se dice que el adversario logró desplegar el ransomware en tres máquinas de la red de la organización, solo para que se bloqueara en dos de esas máquinas.
La intrusión es notable por usar Cobalt Strike para la postexplotación y la escalada de privilegios, seguido de la ejecución de comandos de reconocimiento para identificar otros servidores para el movimiento lateral. La ruta exacta de ingreso utilizada en el ataque no está clara.
"También agregaron un nuevo usuario para la persistencia y utilizaron la herramienta Wput para exfiltrar los archivos de las vÃctimas a su propio servidor FTP", señaló Symantec.
Un ejecutable de 64 bits escrito en Rust, 3AM está diseñado para ejecutar una serie de comandos para detener varios programas de seguridad y copias de seguridad, cifrar archivos que coincidan con criterios predefinidos y eliminar copias de sombra de volumen.
Si bien se desconocen los orÃgenes exactos del ransomware, hay evidencia que sugiere que el afiliado de ransomware conectado a la operación está apuntando a otras entidades, según una publicación compartida en Reddit el 9 de septiembre de 2023.
"No hemos visto evidencia por nosotros mismos que sugiera que este afiliado haya utilizado 3AM nuevamente, pero no nos sorprende ver otros informes sobre el uso de 3AM", dijo Dick O'Brien, analista principal de inteligencia en Symantec, a The Hacker News. "Si un afiliado experimentado de LockBit lo está utilizando como su carga útil alternativa, sugiere que los atacantes pueden verlo como una amenaza creÃble".
"Los afiliados de ransomware se han vuelto cada vez más independientes de los operadores de ransomware", dijo Symantec.
"Las nuevas familias de ransomware aparecen con frecuencia y la mayorÃa desaparecen tan rápidamente como aparecen o nunca logran ganar tracción significativa. Sin embargo, el hecho de que 3AM se haya utilizado como una alternativa por un afiliado de LockBit sugiere que podrÃa interesar a los atacantes y que podrÃa verse nuevamente en el futuro".
¿Quieres saber más?