2023 年末,出现了一个名为 3AM Ransomware 的新且独特的勒索软件组织。
它作为其他勒索软件的后备方案
而受到关注 ,特别是在臭名昭著的
LockBit
勒索软件部署失败期间以及后来他们在其网站上做出的有趣选择期间。
3AM 勒索软件的发现和出现由赛门铁克首先报道,标志着网络犯罪领域的一个值得注意且有趣的事件。正如最初所述,3AM 被发现是网络犯罪分子的第二选择,特别是当他们尝试部署著名的 LockBit 勒索软件未成功时。
ThreeAM 的洋葱泄漏网站
3AM 是谁
3AM 或 ThreeAM 似乎是一个俄语组织,因为它被其他也拥有 LockBit 变体的威胁行为者所使用,并且主要针对西方附属国家。然而,它们不仅仅是次要选项,3AM 勒索软件通过其独特的技术特征脱颖而出。值得注意的是,它是使用
Rust
开发的,使其成为勒索软件家族中的一个新颖实体。作为 64 位可执行文件运行,旨在破坏应用程序、备份系统和安全软件。它针对特定文件,使用“. Threeamtime”扩展名对其进行重命名,旨在消除卷影副本,展示其破坏性能力。
威胁行为者卡
作案手法
3AM 勒索软件的操作顺序涉及细致的预加密活动,针对并禁用来自知名供应商的特定服务,特别是与安全和备份相关的服务。
正如Speartip
的博客文章所述 ,3AM 勒索软件的策略表现出一种精心策划的网络攻击方法。
最初,3AM 通过使用“ gpresult
”命令从目标系统提取策略设置来开始操作。接下来是侦察阶段,涉及网络和服务器枚举的各种命令、建立持久性以及使用
Wput FTP
客户端等工具进行数据泄露。该恶意软件还利用命令行参数进行目标操作,其中包括指定加密方法和控制加密速度。
一旦这些服务失效,3AM 就会启动其文件加密过程,为加密文件附加一个独特的“.triamtime”扩展名。此外,它还尝试删除卷影副本,这是一种旨在阻碍数据恢复工作的策略。3AM 勒索软件的这些技术细微差别揭示了一种有些复杂的网络攻击方法,强调了了解其机制在网络安全防御策略中的重要性。然而,3AM 采用传统的勒索软件勒索方法。首先,它将目标数据传输给攻击者,然后对这些泄露的文件进行加密,这是勒索软件操作的典型方法。
加密后,勒索软件会在每个扫描的文件夹中生成名为“ RECOVER-FILES
”的 TXT 文件,其中包含勒索信息:
Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.
We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.
Please contact us as soon as possible, using Tor-browser:
http://threeam7[REDACTED].onion/recovery
Access key:
[32 CHARS SPECIFIED BY -k COMMAND LINE PARAMETER]
LockBit 部署失败的攻击方案
根据
赛门铁克
研究人员的调查结果,在一次不成功的 LockBit 攻击中,恶意行为者将 3AM 勒索软件引入到目标组织网络内的三台计算机上。然而,他们的努力遇到了阻力,因为其中两台机器能够抵御攻击。
据观察,攻击者使用了名为 Cobalt Strike 的后利用实用程序。
随后,他们启动了“ whoami
”、“
netstat
”、“
quser
”和“net share”等侦察命令,以促进网络内的横向移动。为了确保其持久性,攻击者引入了一个新用户。此外,他们还使用 Wput 工具将文件传输到他们的 FTP 服务器。
袭击成功后,犯罪者耐心等待受害者的联系。为了促进赎金谈判,我们建立了 3AM 勒索软件的 TOR 支持门户,允许与受害者就赎金支付问题进行互动。
目标和影响
自从该组织的泄密网站出现以来,各种受害者已经被共享和删除,这留下了一些问号,但目前 泄密网站上有
23 名受害者,并且只列出了数据 100% 公开的受害者。
同时,他们不使用上传服务或 torrent 来下载这些数据,而是在自己的泄漏网站上托管下载链接。
泄露的数据发布在受害者的相关页面下
泄露网站上的受害者之一位于马来西亚,但其他所有受害者都来自北约成员国。近 3/4 的目标是美国公司。美国之后是英国和法国。
3AM 勒索软件的影响和范围虽然目前有限,但揭示了其作为重大威胁的潜力。迄今为止,它的使用主要作为少数事件中的后备选项,已在少数系统上成功加密。然而,这种有限的影响证明了当前网络安全防御措施的有效性,这些防御措施已能够在多个情况下减轻和遏制 3AM 的活动。尽管如此,3AM 的出现凸显了网络安全实践中持续保持警惕和适应的必要性,因为此类新威胁可能会变得更加广泛和更具破坏性。
