Una nuova famiglia di ransomware denominata “3AM” è stata individuata in natura, segnalando una potenziale minaccia emergente nel panorama della sicurezza informatica. Questo malware, scritto nel linguaggio di programmazione Rust, è stato rilevato in un singolo incidente e sembra rappresentare una nuova famiglia di malware. In questo articolo, esaminiamo le caratteristiche distintive di questo ransomware e le sue potenziali implicazioni per la sicurezza delle reti aziendali.
Caratteristiche e modalità operative del ransomware 3AM
Il team Symantec Threat Hunter, parte di Broadcom, ha rilevato il ransomware 3AM durante un’indagine su un incidente di sicurezza. Questo malware tenta di interrompere numerosi servizi sul computer infetto prima di iniziare il processo di crittografia dei file. Una volta completata la crittografia, cerca di eliminare le copie ombra del volume (VSS) presenti nel sistema. Il nome “3AM” deriva dalla sua menzione nella nota di riscatto e aggiunge l’estensione “.threeamtime” ai file crittografati. Al momento, non è chiaro se gli autori del malware abbiano collegamenti con gruppi criminali noti nel settore della cyber-criminalità.
Durante l’attacco osservato da Symantec, si ritiene che l’aggressore sia riuscito a distribuire il ransomware su tre macchine nella rete dell’organizzazione, sebbene sia stato bloccato su due di queste. L’intrusione è notevole per l’uso di Cobalt Strike per l’escalation dei privilegi post-sfruttamento e l’esecuzione di comandi di ricognizione per identificare altri server per il movimento laterale. La rotta di ingresso esatta utilizzata nell’attacco rimane incerta.
Gli aggressori hanno anche aggiunto un nuovo utente per mantenere la persistenza nel sistema e hanno utilizzato lo strumento Wput per esfiltrare i file delle vittime sul loro server FTP. Il ransomware 3AM, un eseguibile a 64 bit scritto in Rust, è progettato per eseguire una serie di comandi che interrompono vari software di sicurezza e backup, crittografano i file secondo criteri predefiniti e cancellano le copie ombra del volume.
Implicazioni future e considerazioni sulla sicurezza
Sebbene l’origine esatta del ransomware rimanga sconosciuta, esistono prove che l’affiliato del ransomware collegato all’operazione stia prendendo di mira altre entità, come indicato in un post condiviso su Reddit il 9 settembre 2023. Symantec ha notato che “gli affiliati del ransomware sono diventati sempre più indipendenti dagli operatori del ransomware”. Nuove famiglie di ransomware appaiono frequentemente e molte scompaiono altrettanto rapidamente o non riescono a guadagnare una trazione significativa. Tuttavia, il fatto che 3AM sia stato utilizzato come piano B da un affiliato di LockBit suggerisce che potrebbe interessare gli aggressori e potrebbe riapparire in futuro.
Cosa è Rust?
Rust è un linguaggio di programmazione che pone un forte enfasi sulla sicurezza e la performance, offrendo la prevenzione di errori di memoria attraverso un sistema di tipi sofisticato e garantendo la sicurezza del thread.