Οι χάκερ χρησιμοποιούν νέο ransomware 3AM για να σώσουν την αποτυχημένη επίθεση LockBit
Ένα
νέο
στέλεχος ransomware που ονομάζεται 3AM αποκαλύφθηκε αφού ένας παράγοντας
απε
ιλής το χρησιμοποίησε σε μια επίθεση που απέτυχε να αναπτύξει το LockBit ransomware σε ένα δίκτυο-στόχο.
Οι ερευνητές αναφέρουν σε μια έκθεση σήμερα ότι το νέο κακόβουλο λογισμικό “έχει χρησιμοποιηθεί μόνο με περιορισμένο τρόπο” και ότι ήταν η εναλλακτική λύση μιας συνδεδεμένης εταιρείας ransomware όταν αμυντικοί μηχανισμοί απέκλεισαν το LockBit.
Σπάνιο περιστατικό
Η ομάδα Threat Hunter της Symantec, μέρος της Broadcom, λέει ότι οι επιθέσεις που χρησιμοποιούν ransomware 3AM είναι σπάνιες, λέγοντας ότι το είδαν μόνο σε ένα περιστατικό όταν μια θυγατρική του ransomware άλλαξε σε αυτό επειδή δεν μπορούσαν να αναπτύξουν το LockBit.
Η BleepingComputer έχει επίγνωση μιας επίθεσης ransomware στις 3 το πρωί που συνέβη τον Φεβρουάριο, περίπου τη στιγμή που φαίνεται να έχει ξεκινήσει η επιχείρηση, αλλά δεν μπόρεσε να λάβει δείγμα για ανάλυση.
Ο εκβιασμός ransomware στις 3 π.μ. ακολουθεί την κοινή τάση της κλοπής δεδομένων πριν από την κρυπτογράφηση και την απόρριψη ενός σημειώ
ματ
ος λύτρων που απειλεί να πουλήσει τις κλεμμένες πληροφορίες, εκτός εάν πληρωθεί ο εισβολέας.
Παρακάτω είναι ένα διορθωμένο αντίγραφο του κειμένου σημείωσης λύτρων που περικλείεται σε ένα αρχείο με το όνομα “RECOVER-FILES.txt” που υπάρχει σε κάθε φάκελο που σαρώνει το κακόβουλο λογισμικό:
Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of
life", the backups disappeared. But we can correct this very quickly and return
all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their
damage and the impossibility of recovery. We are not recommended to you to
do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive
data from your local network: financial documents; personal information of your
employees, customers, partners; work documentation, postal correspondence and
much more.
We prefer to keep it secret, we have no goal to destroy your business.
Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how
they will be used.
Please contact us as soon as possible, using Tor-browser:
http://threeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery
Access key:
xxx
Η λειτουργία έχει μια πολύ βασική τοποθεσία διαπραγμάτευσης στο δίκτυο Tor που παρέχει πρόσβαση μόνο σε ένα παράθυρο συνομιλίας διαπραγμάτευσης με βάση έναν κωδικό πρόσβασης που παρέχεται στο σημείωμα λύτρων.
Σήματα επίθεσης προ-κρυπτογράφησης
Η ομάδα Threat Hunter της Symantec
λέει
ότι το 3AM είναι γραμμένο σε Rust και φαίνεται ότι δεν σχετίζεται με καμία γνωστή οικογένεια ransomware, καθιστώντας το ένα εντελώς νέο κακόβουλο λογισμικό.
Πριν ξεκινήσει η κρυπτογράφηση αρχείων, το 3AM προσπαθεί να σταματήσει πολλές υπηρεσίες που εκτελούνται στο μολυσμένο σύστημα για διάφορα προϊόντα ασφάλειας και δημιουργίας αντιγράφων ασφαλείας από προμηθευτές όπως οι Veeam, Acronis, Ivanti, McAfee ή Symantec.
Μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης, τα αρχεία έχουν την επέκταση .THREEAMTIME και το κακόβουλο λογισμικό επιχειρεί επίσης να διαγράψει αντίγραφα Volume Shadow που θα μπορούσαν να χρησιμοποιηθούν για την ανάκτηση των δεδομένων.
Οι ερευνητές λένε ότι μια επίθεση ransomware στις 3 π.μ. προηγείται από τη χρήση μιας εντολής “gpresult” που απορρίπτει τις ρυθμίσεις
πολιτική
ς του συστήματος για έναν συγκεκριμένο χρήστη.
“Ο εισβολέας εκτέλεσε επίσης διάφορα στοιχεία Cobalt Strike και προσπάθησε να κλιμακώσει τα προνόμια στον υπολογιστή χρησιμοποιώντας το PsExec” –
Symantec Threat Hunter Team
Οι ερευνητές παρατήρησαν τη χρήση εντολών που χρησιμοποιούνται συνήθως για αναγνώριση (π
ποιός είμαι
,
netstat
,
quser
και
καθαρό μερίδιο
), απαρίθμηση διακομιστών (π.χ
quser
,
καθαρή προβολή
), προσθέτοντας έναν νέο χρήστη για επιμονή και χρήση του παλιού
wput
Πελάτης FTP για αντιγραφή αρχείων στον διακομιστή του εισβολέα.
Σύμφωνα με την ανάλυση κακόβουλου λογισμικού της Symantec, το εκτελέσιμο αρχείο 64-bit που βασίζεται στο 3AM Rust αναγνωρίζει τις ακόλουθες παραμέτρους της γραμμής εντολών:
- “-k” – 32 χαρακτήρες Base64, το “κλειδί πρόσβασης” στο σημείωμα λύτρων
- “-p” – άγνωστο
- “-η” – άγνωστο
- “-m” – μέθοδος, όπου ο κώδικας ελέγχει μία από τις δύο τιμές πριν εκτελέσει τη λογική κρυπτογράφησης:
- “-s” – καθορίζει τις μετατοπίσεις μέσα στα αρχεία για κρυπτογράφηση για τον έλεγχο της ταχύτητας κρυπτογράφησης, εκφρασμένες ως δεκαδικά ψηφία.
Αν και οι ερευνητές βλέπουν συχνά νέες οικογένειες ransomware, λίγες από αυτές αποκτούν αρκετή δημοτικότητα για να μετατραπούν σε σταθερή λειτουργία.
Επειδή το 3AM χρησιμοποιήθηκε ως εναλλακτική του LockBit, είναι πιθανό να προσελκύσει το ενδιαφέρον άλλων εισβολέων και να χρησιμοποιείται πιο συχνά.
Ωστόσο, παρά το γεγονός ότι είναι μια νέα απειλή, η οποία είναι συνήθως πιο πιθανό να παρακάμψει τις άμυνες και να τρέχει απαρατήρητη, το 3AM ήταν μόνο εν μέρει επιτυχές κατά τη διάρκεια της επίθεσης που διερεύνησε η Symantec.
Οι ερευνητές λένε ότι ο παράγοντας απειλής μπόρεσε να αναπτύξει το κακόβουλο λογισμικό μόνο σε τρεις μηχανές του στοχευόμενου οργανισμού και η δραστηριότητά του αποκλείστηκε σε δύο από τα συστήματα, δείχνοντας ότι υπάρχουν ήδη άμυνες εναντίον του.
της Symantec
κανω ΑΝΑΦΟΡΑ
μοιράζεται ένα σύνολο κατακερματισμών αρχείων για τα
δείγματα
LockBit και 3AM, καθώς και τα στοιχεία Cobalt Strike που χρησιμοποιούνται στις ενδείξεις επίθεσης και δικτύου.
