Une nouvelle famille de ransomwares appelée 3h du matin a émergé dans la nature après avoir été détecté lors d’un seul incident au cours duquel un affilié non identifié a déployé la souche à la suite d’une tentative infructueuse de déploiement de LockBit (alias Bitwise Spider ou Syrphe) dans le réseau cible.
“3AM est écrit en Rust et semble être une toute nouvelle famille de logiciels malveillants”, a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom. dit dans un rapport partagé avec The Hacker News.
“Le ransomware tente d’arrêter plusieurs services sur l’ordinateur infecté avant de commencer à chiffrer les fichiers. Une fois le chiffrement terminé, il tente de supprimer les copies Volume Shadow (VSS).”
3AM tire son nom du fait qu’il est référencé dans la demande de rançon. Il ajoute également des fichiers cryptés avec l’extension .troisamtime. Cela dit, on ne sait pas actuellement si les auteurs du malware ont des liens avec des groupes connus de cybercriminalité.
Dans l’attaque repérée par Symantec, l’adversaire aurait réussi à déployer le ransomware sur trois machines du réseau de l’organisation, pour ensuite être bloqué sur deux de ces machines.
L’intrusion se distingue par l’utilisation de Cobalt Strike pour la post-exploitation et l’élévation des privilèges, suivie par l’exécution de commandes de reconnaissance pour identifier d’autres serveurs pour un mouvement latéral. La voie d’entrée exacte utilisée lors de l’attaque n’est pas claire.
“Ils ont également ajouté un nouvel utilisateur pour la persistance et ont utilisé l’outil Wput pour exfiltrer les fichiers des victimes vers leur propre serveur FTP”, a noté Symantec.
Exécutable 64 bits écrit en Rust, 3AM est conçu pour exécuter une série de commandes permettant d’arrêter divers logiciels liés à la sécurité et à la sauvegarde, de chiffrer les fichiers correspondant à des critères prédéfinis et de purger les clichés instantanés de volumes.
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
Bien que les origines exactes du ransomware restent inconnues, il existe des preuves que la filiale du ransomware liée à l’opération cible d’autres entités, selon un rapport. poste partagé sur Reddit le 9 septembre 2023.
« Les affiliés de ransomwares sont devenus de plus en plus indépendants des opérateurs de ransomwares », a déclaré Symantec.
« De nouvelles familles de ransomwares apparaissent fréquemment et la plupart disparaissent tout aussi rapidement ou ne parviennent jamais à gagner du terrain. Cependant, le fait que 3AM ait été utilisé comme solution de repli par un affilié de LockBit suggère qu’il pourrait intéresser les attaquants et pourrait être revu dans l’avenir.”