Một họ ransomware mới được gọi là 3AM đã xuất hiện trong tự nhiên sau khi nó được phát hiện trong một sự cố duy nhất trong đó một chi nhánh không xác định đã triển khai chủng sau một nỗ lực không thành công để cung cấp LockBit (được cho là của Bitwise Spider hoặc Syrphid) trong mạng mục tiêu.
"3AM được viết bằng Rust và dường như là một họ phần mềm độc hại hoàn toàn mới", Symantec Threat Hunter Team, một phần của Broadcom, cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Các ransomware cố gắng ngăn chặn nhiều dịch vụ trên máy tính bị nhiễm trước khi nó bắt đầu mã hóa các tập tin. Khi quá trình mã hóa hoàn tất, nó sẽ cố gắng xóa các bản sao Volume Shadow (VSS).
3AM được đặt tên từ thực tế là nó được tham chiếu trong giấy đòi tiền chuộc. Nó cũng nối thêm các tệp được mã hóa với phần mở rộng .threeamtime. Điều đó nói rằng, hiện tại vẫn chưa biết liệu các tác giả phần mềm độc hại có bất kỳ mối liên hệ nào với các nhóm tội phạm điện tử đã biết hay không.
Trong cuộc tấn công được phát hiện bởi Symantec, kẻ thù được cho là đã quản lý để triển khai ransomware cho ba máy trên mạng của tổ chức, chỉ để nó bị chặn trên hai trong số các máy đó.
Sự xâm nhập đáng chú ý là sử dụng Cobalt Strike để sau khai thác và leo thang đặc quyền, theo sau nó bằng cách chạy các lệnh trinh sát để xác định các máy chủ khác cho chuyển động bên. Con đường xâm nhập chính xác được sử dụng trong cuộc tấn công vẫn chưa rõ ràng.
"Họ cũng đã thêm một người dùng mới để kiên trì và sử dụng công cụ Wput để trích xuất các tệp của nạn nhân vào máy chủ FTP của riêng họ", Symantec lưu ý.
Một tệp thực thi 64 bit được viết bằng Rust, 3AM được thiết kế để chạy một loạt các lệnh để ngăn chặn các phần mềm liên quan đến bảo mật và sao lưu khác nhau, mã hóa các tệp phù hợp với tiêu chí được xác định trước và xóa các bản sao bóng khối lượng.
Mặc dù vẫn chưa xác định được nguồn gốc chính xác của ransomware nhưng có bằng chứng cho thấy chi nhánh ransomware có liên quan đến hoạt động này đang nhắm mục tiêu vào các thực thể khác, dựa trên một bài đăng được chia sẻ trên Reddit vào ngày 9 tháng 9 năm 2023.
"Chúng tôi không thấy bằng chứng nào cho thấy chi nhánh này đã sử dụng 3AM một lần nữa, nhưng chúng tôi không ngạc nhiên khi thấy các báo cáo khác về việc sử dụng 3AM", Dick O'Brien, nhà phân tích tình báo chính tại Symantec, nói với The Hacker News. "Nếu một chi nhánh LockBit có kinh nghiệm đang sử dụng nó làm tải trọng thay thế của họ, điều đó cho thấy những kẻ tấn công có thể coi đó là một mối đe dọa đáng tin cậy."
"Các chi nhánh của ransomware ngày càng trở nên độc lập với các nhà khai thác ransomware", Symantec cho biết.
"Các gia đình ransomware mới xuất hiện thường xuyên và hầu hết biến mất nhanh chóng hoặc không bao giờ đạt được sức hút đáng kể. Tuy nhiên, thực tế là 3AM đã được sử dụng như một dự phòng bởi một chi nhánh của LockBit cho thấy rằng nó có thể được những kẻ tấn công quan tâm và có thể được nhìn thấy một lần nữa trong tương lai. "