Шифровальщик 3AM используется там, где не сработал LockBit - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Шифровальщик 3AM используется там, где не сработал LockBit - «Новости»

Аналитики из команды Symantec Threat Hunter рассказывают о новом шифровальщике 3AM, который использовался злоумышленниками, когда им не удалось развернуть вымогателя LockBit в целевой сети.


В своем отчете специалисты отмечают, что «вредоносное ПО использовалось ограниченным образом» и его атаки весьма редки. Похоже, малварь была запасным вариантом для злоумышленников, на тот случай, если защитные механизмы заблокируют LockBit. Во всяком случае, именно такой сценарий использования наблюдали эксперты.


Интересно, что в той атаке операторам 3AM удалось добиться лишь частичного успеха: им  удалось развернуть малварь только на трех компьютерах в целевой организации, но активность шифровальщика была заблокирована на двух из них.


3AM написан на Rust и не связан с другими известными семействами вымогателей, то есть это совершенно новая малварь. Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб и продуктов, связанных с безопасностью и резервным копированием (включая решения Veeam, Acronis, Ivanti, McAfee и Symantec).


После завершения шифрования файлы получают расширение .THREEAMTIME, и вымогатель пытается удалить теневые копии, которые можно было бы использовать для восстановления данных.


Как и другие вымогатели, 3AM следует общему тренду и перед началом шифрования похищает данные из систем компании-жертвы, а затем угрожает продать украденную информацию, если не будет выплачен выкуп.


Исследователи отмечают, что атаке 3AM предшествовало использование команды gpresult, которая позволяет получить настройки системных политик для конкретного пользователя. Также известно, что злоумышленники запускали различные компоненты Cobalt Strike и пытались повысить свои привилегии с помощью PsExec.


«[Операторы 3AM] также добавили нового пользователя, чтобы закрепиться в системе и использовали инструмент Wput для передачи файлов жертв на собственный FTP-сервер», — отмечают в Symantec.


Специалисты резюмируют, что пока был зафиксирован лишь один случай использования 3AM, но их не удивит, если в скором будущем вредонос станет применяться более широко.


«Если опытный партнер LockBit использует его в качестве альтернативной полезной нагрузки, это говорит о том, что [другие] злоумышленники так же могут рассматривать его как серьезную угрозу, — считают специалисты. — Новые семейства программ-вымогателей появляются часто, и большинство из них так же быстро исчезают, или им не удается достичь заметной популярности. Однако тот факт, что 3AM использовался в качестве запасного варианта операторами LockBit, предполагает, что он может представлять интерес для злоумышленников и в будущем может появиться вновь».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики из команды Symantec Threat Hunter рассказывают о новом шифровальщике 3AM, который использовался злоумышленниками, когда им не удалось развернуть вымогателя LockBit в целевой сети. В своем отчете специалисты отмечают, что «вредоносное ПО использовалось ограниченным образом» и его атаки весьма редки. Похоже, малварь была запасным вариантом для злоумышленников, на тот случай, если защитные механизмы заблокируют LockBit. Во всяком случае, именно такой сценарий использования наблюдали эксперты. Интересно, что в той атаке операторам 3AM удалось добиться лишь частичного успеха: им удалось развернуть малварь только на трех компьютерах в целевой организации, но активность шифровальщика была заблокирована на двух из них. 3AM написан на Rust и не связан с другими известными семействами вымогателей, то есть это совершенно новая малварь. Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб и продуктов, связанных с безопасностью и резервным копированием (включая решения Veeam, Acronis, Ivanti, McAfee и Symantec). После завершения шифрования файлы получают расширение .THREEAMTIME, и вымогатель пытается удалить теневые копии, которые можно было бы использовать для восстановления данных. Как и другие вымогатели, 3AM следует общему тренду и перед началом шифрования похищает данные из систем компании-жертвы, а затем угрожает продать украденную информацию, если не будет выплачен выкуп. Исследователи отмечают, что атаке 3AM предшествовало использование команды gpresult, которая позволяет получить настройки системных политик для конкретного пользователя. Также известно, что злоумышленники запускали различные компоненты Cobalt Strike и пытались повысить свои привилегии с помощью PsExec. «_
CSS
запостил(а)
Oliver
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: