3AM adlı yeni bir fidye yazılımı türü, bir tehdit aktörünün onu hedef ağa LockBit fidye yazılımını dağıtmayı başaramayan bir saldırıda kullanmasının ardından ortaya çıkarıldı.
Araştırmacılar bugün bir raporda, yeni kötü amaçlı yazılımın “yalnızca sınırlı bir şekilde kullanıldığını” ve bunun, savunma mekanizmaları LockBit’i engellediğinde fidye yazılımı bağlı kuruluşunun geri dönüşü olduğunu söylüyor.
Nadir olay
Broadcom’un bir parçası olan Symantec’in Tehdit Avcısı Ekibi, 3AM fidye yazılımı kullanan saldırıların nadir olduğunu söylüyor ve bunu yalnızca bir fidye yazılımı bağlı kuruluşunun LockBit’i dağıtamadığı için bu yazılıma geçtiği tek bir olayda gördüklerini söylüyor.
BleepingComputer, operasyonun başlatıldığı sıralarda, Şubat ayında sabah saat 3’te meydana gelen bir fidye yazılımı saldırısının farkında, ancak analiz için bir örnek alamadı.
Gece 3’teki fidye yazılımı gaspı, verileri şifrelemeden önce çalmak ve saldırgana para ödenmediği takdirde çalınan bilgileri satma tehdidinde bulunan bir fidye notu bırakmak şeklindeki yaygın eğilimi takip ediyor.
Aşağıda, kötü amaçlı yazılımın taradığı her klasörde bulunan ‘RECOVER-FILES.txt’ adlı dosyanın içindeki fidye notu metninin düzeltilmiş bir kopyası bulunmaktadır:
Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of
life", the backups disappeared. But we can correct this very quickly and return
all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their
damage and the impossibility of recovery. We are not recommended to you to
do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive
data from your local network: financial documents; personal information of your
employees, customers, partners; work documentation, postal correspondence and
much more.
We prefer to keep it secret, we have no goal to destroy your business.
Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how
they will be used.
Please contact us as soon as possible, using Tor-browser:
http://threeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery
Access key:
xxx
Operasyonun Tor ağında, yalnızca fidye notunda sağlanan geçiş anahtarını temel alan bir müzakere sohbet penceresine erişim sağlayan çok basit bir müzakere sitesi var.
Şifreleme öncesi saldırı sinyalleri
Symantec’in Tehdit Avcısı Ekibi, 3AM’in Rust’ta yazıldığını ve bilinen herhangi bir fidye yazılımı ailesiyle ilgisi olmadığını, bunun da onu tamamen yeni bir kötü amaçlı yazılım haline getirdiğini söylüyor.
Dosyaları şifrelemeye başlamadan önce 3AM, Veeam, Acronis, Ivanti, McAfee veya Symantec gibi satıcıların çeşitli güvenlik ve yedekleme ürünleri için virüslü sistemde çalışan birden fazla hizmeti durdurmaya çalışır.
Şifreleme işlemi tamamlandıktan sonra dosyalar .THREEAMTIME uzantısına sahip olur ve kötü amaçlı yazılım ayrıca verileri kurtarmak için kullanılabilecek Volume Shadow kopyalarını da silmeye çalışır.
Araştırmacılar, gece 3’te yapılan bir fidye yazılımı saldırısının öncesinde, belirli bir kullanıcı için sistemin politika ayarlarının dökümünü alan bir “gpresult” komutunun kullanıldığını söylüyor.
“Saldırgan ayrıca çeşitli Cobalt Strike bileşenlerini çalıştırdı ve PsExec’i kullanarak bilgisayardaki ayrıcalıkları artırmaya çalıştı” – Symantec Threat Hunter Team
Araştırmacılar, keşif için yaygın olarak kullanılan komutların kullanımını gözlemlediler (örn. ben kimim, netstat, suçluVe net pay), sunucuların numaralandırılması (örn. suçlu, Net görüntü), kalıcılık için yeni bir kullanıcı ekleme ve eski kullanıcıyı kullanma çıktı Dosyaları saldırganın sunucusuna kopyalamak için FTP istemcisi.
Symantec’in kötü amaçlı yazılım analizine göre, 3AM Rust tabanlı 64 bit yürütülebilir dosya aşağıdaki komut satırı parametrelerini tanıyor:
- “-k” – 32 Base64 karakteri, fidye notundaki “erişim anahtarı”
- “-p” – bilinmiyor
- “-h” – bilinmiyor
- “-m” – kodun şifreleme mantığını çalıştırmadan önce iki değerden birini kontrol ettiği yöntem:
- “-s” – şifreleme hızını kontrol etmek amacıyla şifreleme için dosyalar içindeki ondalık basamak olarak ifade edilen uzaklıkları belirler.
Araştırmacılar sık sık yeni fidye yazılımı aileleri görse de, bunların çok azı istikrarlı bir operasyona dönüşecek kadar popülerlik kazanıyor.
3AM, LockBit’e alternatif olarak kullanıldığı için diğer saldırganların da ilgisini çekmesi ve daha sık kullanılması muhtemel.
Bununla birlikte, genellikle savunmaları aşma ve tespit edilmeden çalışma olasılığı daha yüksek olan yeni bir tehdit olmasına rağmen, 3AM, Symantec’in araştırdığı saldırı sırasında yalnızca kısmen başarılı oldu.
Araştırmacılar, tehdit aktörünün kötü amaçlı yazılımı hedeflenen kuruluşun yalnızca üç makinesine dağıtabildiğini ve etkinliğinin iki sistem üzerinde engellendiğini, bunun da ona karşı zaten savunma bulunduğunu gösterdiğini söylüyor.
Symantec’in raporu, LockBit ve 3AM örnekleri için bir dizi dosya karmasının yanı sıra saldırı ve ağ göstergelerinde kullanılan Cobalt Strike bileşenlerini paylaşıyor.