In una scoperta allarmante, il team Symantec Threat Hunter ha recentemente identificato una nuova famiglia di ransomware denominata 3AM.
Questo minaccia, finora utilizzato in modo limitato, ha attirato l’attenzione degli esperti di sicurezza informatica per le sue caratteristiche uniche e potenzialmente pericolose.
Indice degli argomenti
Sulla scena del cyber crimine arriva il ransomware 3AM
Secondo il rapporto, il ransomware 3AM è stato utilizzato in un singolo attacco da parte di un affiliato di ransomware. L’attacco è degno di nota per diversi aspetti, tra cui l’uso di Cobalt Strike per il post-sfruttamento e l’escalation dei privilegi, seguiti dall’esecuzione di comandi di ricognizione per identificare altri server per il movimento laterale.
Il ransomware 3AM è scritto in Rust, un linguaggio di programmazione (sviluppato da Mozilla) noto per la sua robustezza e prestazioni, e sembra essere una famiglia di malware completamente nuova.
Gli aggressori di 3AM seguono una sequenza di azioni ben definita: prima di iniziare a crittografare i file sul computer infetto, tentano di interrompere numerosi servizi, tra cui i software di sicurezza e i tool per il backup dei dati, cercando di compromettere il sistema il più possibile.
Successivamente, il ransomware cerca di eliminare le copie dei dati Volume Shadow (VSS), rendendo estremamente difficile il recupero dei file criptati.
Un aspetto interessante di questo ransomware è il suo nome, 3AM, che deriva dalla menzione nella richiesta di riscatto. Inoltre, i file criptati da 3AM presentano un’estensione insolita, “.threamtime”.
I possibili legami con il ransomware LockBit
Sebbene le origini esatte di questa nuova famiglia di ransomware rimangano sconosciute, i ricercatori di Symantec hanno notato che un affiliato di LockBit ha utilizzato 3AM come fallback in un attacco recente.
Questo suggerisce che gli aggressori potrebbero considerare 3AM come una minaccia credibile, aprendo la strada a potenziali attacchi futuri.
Dick O’Brien, principale analista di intelligence di Symantec, ha sottolineato che gli affiliati di ransomware stanno diventando sempre più indipendenti dagli operatori di ransomware principali.
Nuove famiglie di ransomware spuntano frequentemente, ma poche riescono a ottenere una popolarità significativa. Tuttavia, il fatto che 3AM sia stato utilizzato come fallback da un affiliato di LockBit suggerisce che potrebbe diventare una minaccia persistente nel panorama della cyber-criminalità.
Mitigare il rischio del ransomware 3AM
Mentre gli esperti di sicurezza lavorano per comprendere meglio questa nuova minaccia, è fondamentale che le organizzazioni rafforzino le loro difese cibernetiche e mantengano sistemi e software aggiornati per proteggersi da attacchi ransomware come 3AM.
La vigilanza e la preparazione (come la consapevolezza) rimangono elementi fondamentali per affrontare le crescenti sfide della sicurezza informatica.
