Uma nova variedade de ransomware chamada 3AM foi descoberta. Os especialistas observaram esse novo ransomware substituindo o LockBit. Um agente de ameaça o usou em um ataque que não conseguiu implantar o ransomware LockBit em uma rede alvo.
De acordo com um relatório de pesquisadores, o novo malware “só foi usado de forma limitada” e foi uma alternativa de um afiliado de ransomware quando os mecanismos de defesa bloquearam o ransomware LockBit.
Ransomware 3AM substituindo o LockBit
A equipe Threat Hunter da Symantec, parte da Broadcom, diz que ataques usando ransomware 3AM são raros, dizendo que eles só viram isso em um único incidente quando um afiliado de ransomware mudou para ele porque não conseguiu implantar o LockBit.
O BleepingComputer comentou sobre um ataque de ransomware ocorrido em fevereiro, na época em que a operação parece ter sido lançada, mas não conseguiu obter uma amostra para análise. A extorsão do ransomware 3AM segue a tendência comum de roubar dados antes de criptografá-los e enviar uma nota de resgate ameaçando vender as informações roubadas, a menos que o invasor seja pago.
Abaixo está uma cópia editada e traduzida do texto da nota de resgate incluído em um arquivo chamado ‘RECOVER-FILES.txt’ que está presente em todas as pastas que o malware verifica:
Olá. “3 da manhã” A hora do misticismo, não é?
Todos os seus arquivos são misteriosamente criptografados e os sistemas “não mostram sinais de
vida”, os backups desapareceram. Mas podemos corrigir isso muito rapidamente e retornar
todos os seus arquivos e operação dos sistemas ao estado original.Todas as suas tentativas de restaurar dados por conta própria certamente levarão a eles
danos e a impossibilidade de recuperação. Não somos recomendados para você
faça isso sozinho!!! (ou faça isso por sua própria conta e risco).Há outro ponto importante: roubamos uma quantidade bastante grande de sensibilidade
dados da sua rede local: documentos financeiros; informações pessoais do seu
funcionários, clientes, parceiros; documentação de trabalho, correspondência postal e
muito mais.Preferimos manter isso em segredo, não temos objetivo de destruir o seu negócio.
Portanto não pode haver vazamento de nossa parte.
Propomos chegar a um acordo e concluir um acordo.
Caso contrário, seus dados serão vendidos para DarkNet/DarkWeb. Só podemos adivinhar como
eles serão usados.
Entre em contato conosco o mais rápido possível, usando o navegador Tor:
http://treeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery
Chave de acesso:
xxx
A operação possui um site de negociação muito básico na rede Tor que fornece acesso apenas a uma janela de bate-papo de negociação com base em uma chave de acesso fornecida na nota de resgate.
Sinais de ataque pré-criptografia
A equipe Threat Hunter da Symantec afirma que 3AM foi escrito em Rust e parece não estar relacionado a nenhuma família de ransomware conhecida, o que o torna um malware completamente novo. Antes de começar a criptografar arquivos, o 3AM tenta interromper a execução de vários serviços no sistema infectado para vários produtos de segurança e backup de fornecedores como Veeam, Acronis, Ivanti, McAfee ou Symantec.
Assim que o processo de criptografia for concluído, os arquivos terão a extensão .THREEAMTIME e o malware também tentará excluir cópias do Volume Shadow que poderiam ser usadas para recuperar os dados.
Os pesquisadores dizem que um ataque de ransomware às 3 da manhã é precedido pelo uso de um comando “gpresult” que despeja as configurações de política do sistema para um usuário específico.
Embora os pesquisadores frequentemente vejam novas famílias de ransomware, poucas delas ganham popularidade suficiente para se tornarem uma operação estável. Como o 3AM foi usado como alternativa ao LockBit, é provável que atraia o interesse de outros invasores e seja usado com mais frequência.
No entanto, apesar de ser uma nova ameaça, que normalmente tem maior probabilidade de contornar as defesas e ser executada sem ser detectada, o 3AM teve sucesso apenas parcial durante o ataque que a Symantec investigou.