Suas soluções de segurança podem evitar uma infecção pelo LockBit, mas você ainda pode acabar com arquivos criptografados: de acordo com os pesquisadores de ameaças da Symantec, alguns afiliados estão usando o ransomware 3AM como uma opção alternativa caso o LockBit seja sinalizado e bloqueado.
Ransomware às 3 da manhã
LockBit é uma conhecida família de ransomware que vem causando estragos já há algum tempo.
Mas e às 3 da manhã? Chamado assim por causa da extensão .trêsamtime adicionada aos arquivos criptografados, 3AM é uma nova família de ransomware escrita em Rust.
De acordo com a análise dos pesquisadores, ele tenta encerrar o software relacionado à segurança e ao backup que está em execução no computador infectado e – depois de criptografar os arquivos visados e excluir os originais – tenta excluir as cópias do Volume Shadow .
“Até o momento, o ransomware foi usado apenas de forma limitada”, observaram os pesquisadores – os caçadores de ameaças da empresa o viram usado em um único ataque por uma afiliada do ransomware.
Também não parece ser muito eficaz ou furtivo o suficiente para passar despercebido. “Os invasores só conseguiram implantá-lo em três máquinas da rede da organização e ele foi bloqueado em dois desses três computadores.”
No entanto, os invasores tiveram algum sucesso: antes de tentar criptografá-los, eles exfiltraram os arquivos , o que significa que ainda podem tentar extorquir a organização vítima.
“Novas famílias de ransomware aparecem com frequência e a maioria desaparece com a mesma rapidez ou nunca consegue ganhar força significativa. No entanto, o fato de 3 da manhã ter sido usado como alternativa por uma afiliada da LockBit sugere que pode ser do interesse dos invasores e pode ser visto novamente no futuro”, comentaram os caçadores de ameaças da Symantec .
Antes da implantação do ransomware
A empresa não informa como o primeiro sistema foi comprometido.
“A primeira atividade suspeita do agente da ameaça envolveu o uso do comando gpresult para despejar as configurações de política aplicadas no computador para um usuário específico. O invasor também executou vários componentes do Cobalt Strike e tentou aumentar os privilégios no computador usando o PsExec ”, compartilharam os caçadores de ameaças da Symantec.
Os invasores então começaram a fazer reconhecimento (com os comandos whoami , netstat , quser e net share ), tentaram enumerar outros servidores nos quais pudessem acessar (com os comandos quser e net view ), adicionaram um novo usuário para persistência e exfiltraram as vítimas. arquivos para seu próprio servidor FTP por meio da ferramenta Wput .
A Symantec forneceu indicadores de comprometimento: endereços IP e hashes de arquivos para as duas amostras de malware e beacons Cobalt Strike.
FONTE: HELP NET SECURITY