Hackers use new 3AM ransomware as an emergency LockBit fallback

3AM と呼ばれる新しいランサムウェア株が、攻撃者によって攻撃に使用され、ターゲット ネットワークへの LockBit ランサムウェアの展開が失敗した後、発見されました。

研究者らは本日の報告書で、この新しいマルウェアは「限られた方法でのみ使用されている」と述べ、これは防御機構が LockBit をブロックした際のランサムウェア関連会社のフォールバックであったと述べた。

まれな出来事

Broadcom の一員である Symantec の Threat Hunter Team は、3AM ランサムウェアを使用した攻撃は稀であるとし、ランサムウェア関連会社が LockBit を導入できなかったためにランサムウェアに切り替えた際に、この攻撃が確認されたのは 1 件だけであると述べています。

は、2 月に発生した午前 3 時のランサムウェア攻撃を認識しており、その頃作戦が開始されたと思われますが、分析用のサンプルを入手できませんでした。

3AM のランサムウェア恐喝は、データを暗号化する前に窃取し、攻撃者に報酬が支払われなければ盗んだ情報を販売すると脅す身代金要求書を投下するという一般的な傾向に従います。

以下は、「RECOVER-FILES.txt」という名前のファイルに囲まれた身代金メモのテキストの編集されたコピーです。このファイルは、マルウェアがスキャンするすべてのフォルダーに存在します。

Hello. "3 am" The time of mysticism, isn't it? All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state. All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk). There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more. We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part. We propose to reach an agreement and conclude a deal. Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used. Please contact us as soon as possible, using Tor-browser: http://threeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery Access key: xxx

この作戦では、Tor ネットワーク上に非常に基本的な交渉サイトがあり、身代金メモで提供されたパスキーに基づいて交渉チャット ウィンドウへのアクセスのみを提供します。

暗号化前の攻撃信号

シマンテックの脅威ハンターチームによると、3AMはRustで書かれており、既知のランサムウェアファミリーとは無関係のようで、まったく新しいマルウェアであるという。

ファイルの暗号化を開始する前に、3AM は、Veeam、Acronis、Ivanti、McAfee、Symantec などのベンダーのさまざまなセキュリティ製品やバックアップ製品のために、感染したシステム上で実行されている複数のサービスを停止しようとします。

暗号化プロセスが完了すると、ファイルには .THREEAMTIME 拡張子が付けられ、マルウェアはデータの回復に使用できるボリューム シャドウ コピーも削除しようとします。

研究者らは、午前 3 時のランサムウェア攻撃の前に、特定のユーザーに対するシステムのポリシー設定をダンプする「gpresult」コマンドが使用されると述べています。

「攻撃者はまた、さまざまな Cobalt Strike コンポーネントを実行し、PsExec を使用してコンピュータ上の権限を昇格させようとしました」 – Symantec Threat Hunter Team

研究者らは、偵察に一般的に使用されるコマンド (例: whoaminetstatquser 、およびnet share )、サーバーの列挙 (例: qusernet view )、永続化のための新しいユーザーの追加、および古いwput FTP クライアントの使用を観察しました。ファイルを攻撃者のサーバーにコピーします。

シマンテックのマルウェア分析によると、3AM Rust ベースの 64 ビット実行可能ファイルは次のコマンドライン パラメータを認識します。

  • 「-k」 – 32 Base64 文字、身代金メモの「アクセス キー」
  • 「-p」 – 不明
  • 「-h」 – 不明
  • 「-m」 – メソッド。コードは暗号化ロジックを実行する前に 2 つの値のいずれかをチェックします。
    • “地元”
    • “ネット”
  • 「-s」 – 暗号化速度を制御するための暗号化用のファイル内のオフセットを決定し、10 進数で表します。

研究者は新しいランサムウェア ファミリを頻繁に確認していますが、安定した運用に至るほどの人気を獲得しているものはほとんどありません。

3AM は LockBit の代替として使用されたため、他の攻撃者の関心を引き付け、より頻繁に使用される可能性があります。

しかし、3AM は新しい脅威であるにもかかわらず、通常は防御を回避し、検出されずに実行される可能性が高いにもかかわらず、シマンテックが調査した攻撃では部分的にしか成功しませんでした。

研究者らは、攻撃者がマルウェアを展開できたのは標的となった組織の 3 台のマシンのみで、そのうち 2 台のシステムでその活動がブロックされたことは、すでにマルウェアに対する防御手段があることを示していると述べています。

シマンテックのレポートでは、 LockBit サンプルと 3AM サンプルの一連のファイル ハッシュ、および攻撃とネットワーク インジケーターで使用される Cobalt Strike コンポーネントが共有されています。