Os invasores usam ransomware substituto se o LockBit for bloqueado

Views: 3387
0 0
Read Time:2 Minute, 20 Second

Suas soluções de segurança podem evitar uma infecção pelo LockBit, mas você ainda pode acabar com arquivos criptografados: de acordo com os pesquisadores de ameaças da Symantec, alguns afiliados estão usando o ransomware 3AM como uma opção alternativa caso o LockBit seja sinalizado e bloqueado.

Ransomware às 3 da manhã

LockBit é uma conhecida família de ransomware que vem causando estragos já há algum tempo.

Mas e às 3 da manhã? Chamado assim por causa da extensão .trêsamtime adicionada aos arquivos criptografados, 3AM é uma nova família de ransomware escrita em Rust.

De acordo com a análise dos pesquisadores, ele tenta encerrar o software relacionado à segurança e ao backup que está em execução no computador infectado e – depois de criptografar os arquivos visados ​​e excluir os originais – tenta excluir as cópias do Volume Shadow .

“Até o momento, o ransomware foi usado apenas de forma limitada”, observaram os pesquisadores – os caçadores de ameaças da empresa o viram usado em um único ataque por uma afiliada do ransomware.

Também não parece ser muito eficaz ou furtivo o suficiente para passar despercebido. “Os invasores só conseguiram implantá-lo em três máquinas da rede da organização e ele foi bloqueado em dois desses três computadores.”

No entanto, os invasores tiveram algum sucesso: antes de tentar criptografá-los, eles exfiltraram os arquivos , o que significa que ainda podem tentar extorquir a organização vítima.

“Novas famílias de ransomware aparecem com frequência e a maioria desaparece com a mesma rapidez ou nunca consegue ganhar força significativa. No entanto, o fato de 3 da manhã ter sido usado como alternativa por uma afiliada da LockBit sugere que pode ser do interesse dos invasores e pode ser visto novamente no futuro”, comentaram os caçadores de ameaças da Symantec .

Antes da implantação do ransomware

A empresa não informa como o primeiro sistema foi comprometido.

“A primeira atividade suspeita do agente da ameaça envolveu o uso do comando gpresult para despejar as configurações de política aplicadas no computador para um usuário específico. O invasor também executou vários componentes do Cobalt Strike e tentou aumentar os privilégios no computador usando o PsExec ”, compartilharam os caçadores de ameaças da Symantec.

Os invasores então começaram a fazer reconhecimento (com os comandos whoami , netstat , quser e net share ), tentaram enumerar outros servidores nos quais pudessem acessar (com os comandos quser e net view ), adicionaram um novo usuário para persistência e exfiltraram as vítimas. arquivos para seu próprio servidor FTP por meio da ferramenta Wput .

A Symantec forneceu indicadores de comprometimento: endereços IP e hashes de arquivos para as duas amostras de malware e beacons Cobalt Strike.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS