Una nueva familia de ransomware llamada 3 a.m. ha surgido en la naturaleza después de que fue detectado en un solo incidente en el que un afiliado no identificado desplegó la cepa luego de un intento fallido de implementar LockBit (también conocido como Bitwise Spider o Sírfido) en la red de destino.
«3AM está escrito en Rust y parece ser una familia de malware completamente nueva», dijo el equipo Symantec Threat Hunter, parte de Broadcom. dicho en un informe compartido con The Hacker News.
«El ransomware intenta detener múltiples servicios en la computadora infectada antes de comenzar a cifrar archivos. Una vez que se completa el cifrado, intenta eliminar las instantáneas de volumen (VSS)».
3AM recibe su nombre del hecho de que se hace referencia a él en la nota de rescate. También agrega archivos cifrados con la extensión .tresamtime. Dicho esto, actualmente no se sabe si los autores del malware tienen alguna conexión con grupos conocidos de delitos electrónicos.
En el ataque detectado por Symantec, se dice que el adversario logró implementar el ransomware en tres máquinas de la red de la organización, solo para ser bloqueado en dos de esas máquinas.
La intrusión se destaca por utilizar Cobalt Strike para la post-explotación y la escalada de privilegios, y luego ejecuta comandos de reconocimiento para identificar otros servidores para el movimiento lateral. La ruta de ingreso exacta empleada en el ataque no está clara.
«También agregaron un nuevo usuario para la persistencia y utilizaron la herramienta Wput para filtrar los archivos de las víctimas a su propio servidor FTP», señaló Symantec.
3AM, un ejecutable de 64 bits escrito en Rust, está diseñado para ejecutar una serie de comandos para detener diversos programas de seguridad y relacionados con copias de seguridad, cifrar archivos que coincidan con criterios predefinidos y purgar instantáneas de volumen.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Si bien se desconocen los orígenes exactos del ransomware, hay evidencia de que el afiliado de ransomware conectado a la operación tiene como objetivo otras entidades, según un correo compartido en Reddit el 9 de septiembre de 2023.
«Los afiliados de ransomware se han vuelto cada vez más independientes de los operadores de ransomware», afirmó Symantec.
«Aparecen nuevas familias de ransomware con frecuencia y la mayoría desaparece con la misma rapidez o nunca logran ganar una tracción significativa. Sin embargo, el hecho de que un afiliado de LockBit haya utilizado 3AM como alternativa sugiere que puede ser de interés para los atacantes y podría verse nuevamente en el futuro.»