Yeni bir fidye yazılımı ailesi adı verildi sabah 3 LockBit’i (Bitwise Spider veya sifid) hedef ağda.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, “3AM, Rust’ta yazıldı ve tamamen yeni bir kötü amaçlı yazılım ailesi gibi görünüyor” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
“Fidye yazılımı, dosyaları şifrelemeye başlamadan önce virüslü bilgisayardaki birden fazla hizmeti durdurmaya çalışır. Şifreleme tamamlandıktan sonra Birim Gölgesi (VSS) kopyalarını silmeye çalışır.”
3AM adını fidye notunda bahsedildiği gerçeğinden alıyor. Ayrıca . threeamtime uzantılı şifrelenmiş dosyaları da ekler. Bununla birlikte, kötü amaçlı yazılım yazarlarının bilinen e-suç gruplarıyla herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor.
Symantec tarafından tespit edilen saldırıda, saldırganın fidye yazılımını kuruluşun ağındaki üç makineye dağıtmayı başardığı, ancak bu makinelerden ikisinde engellendiği söyleniyor.
İzinsiz giriş, Cobalt Strike’ın sömürü sonrası ve ayrıcalık artışı için kullanılması ve bunu yanal hareket için diğer sunucuları belirlemek üzere keşif komutları çalıştırarak takip etmesi açısından dikkate değerdir. Saldırıda kullanılan kesin giriş rotası belirsiz.
Symantec, “Ayrıca kalıcılık için yeni bir kullanıcı eklediler ve kurbanların dosyalarını kendi FTP sunucularına aktarmak için Wput aracını kullandılar” dedi.
Rust, 3AM’de yazılmış 64 bitlik bir yürütülebilir dosya, çeşitli güvenlik ve yedeklemeyle ilgili yazılımları durdurmak, önceden tanımlanmış ölçütlerle eşleşen dosyaları şifrelemek ve birim gölge kopyalarını temizlemek için bir dizi komutu çalıştıracak şekilde tasarlanmıştır.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Fidye yazılımının kesin kaynağı bilinmemekle birlikte, operasyona bağlı fidye yazılımı bağlı kuruluşunun başka varlıkları hedef aldığına dair kanıtlar mevcut. postalamak 9 Eylül 2023’te Reddit’te paylaşıldı.
Symantec’in baş istihbarat analisti Dick O’Brien The Hacker News’e şunları söyledi: “Bu bağlı kuruluşun tekrar sabah 3’ü kullandığına dair hiçbir kanıt görmedik, ancak sabah 3’ün kullanımına ilişkin diğer raporları görmek bizi şaşırtmadı.” “Deneyimli bir LockBit ortağının bunu alternatif yük olarak kullanması, saldırganların bunu güvenilir bir tehdit olarak görebileceğini gösteriyor.”
Symantec, “Fidye yazılımı bağlı kuruluşları, fidye yazılımı operatörlerinden giderek daha bağımsız hale geldi” dedi.
“Yeni fidye yazılımı aileleri sıklıkla ortaya çıkıyor ve çoğu da aynı hızla ortadan kayboluyor veya hiçbir zaman önemli bir ilgi çekmeyi başaramıyor. Bununla birlikte, 3AM’in bir LockBit üyesi tarafından yedek olarak kullanılması, bunun saldırganların ilgisini çekebileceğini ve gelecekte tekrar görülebileceğini gösteriyor. gelecek.”
