Mali kazanç elde etmek için bilgisayar korsanları, kurbanların verilerini şifreleyen fidye yazılımlarından yararlanır ve ardından serbest bırakılması karşılığında fidye ödemesi talep ederler.
Mağdurları yeniden erişim kazanmak veya hassas verilerin ifşa edilmesini veya silinmesini önlemek için ödeme yapmaya zorladıklarından, tehlikeye atılan verilerin aciliyetini ve önemini gösterir.
Intrinsic’teki güvenlik analistleri yakın zamanda küçük ve orta ölçekli şirketlere aktif olarak saldıran ThreeAM (aka 3 AM, ThreeAMtime) fidye yazılımını keşfetti.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
ThreeAM Fidye Yazılımı Kampanya
ThreeAM, fidye ödenmediği takdirde kurbanın verilerini bir sızıntı sitesinde ifşa ediyor ve bu fidye yazılımı, artık Royal olan eski Conti üyelerinin Ar-Ge’siyle bağlantılı.
ThreeAM daha az karmaşık olmasına rağmen önemli bir saldırı etkisine sahip olabilir. Fidye yazılımı için X/Twitter botlarını ve Rust dilini kullanıyor, bu da onu yeni bir kötü amaçlı yazılım ailesi yapıyor.
ThreeAM fidye yazılımı, 13 Eylül ile 26 Ekim 2023 tarihleri arasında bir düzine ABD işletmesini vurdu. 10 kurbanın maksimum 50 çalışanı ve geliri 5 milyon dolardan az olduğu küçük ve orta ölçekli işletmeleri hedefliyor.
KOBİ’ler sınırlı kaynaklar nedeniyle savunmasızdır. 1000 çalışanıyla Avrupa’nın eczane lideri Neuraxpharm da mağdur oldu.
Çok yönlü mağduroloji, orta ölçekli işletmelerin lehine gelişen fidye yazılımı taktikleriyle uyumludur. Trellix’in Haziran 2023 raporunda ABD’deki işletmeler en olası fidye yazılımı hedefleri olarak öne çıkıyor.
Symantec, eski Conti-Ryuk-TrickBot bağlantı noktasına bağlı ThreeAM fidye yazılımını ortaya çıkardı. Başarısız LockBit dağıtımları için bir geri dönüş olarak ortaya çıkan Rust tabanlı bir tehdittir.
Kraliyet fidye yazılımı lideri ‘Baddie’nin Evil Corp ile bağları var ve LockBit her ikisi tarafından da kaçakçılık amacıyla benimsendi. Nadir görülen ThreeAM gelecekteki saldırılara dair ipuçları veriyor. Verimlilik ve kaçınma için Rust’ı kullanır.
Fidye yazılımı Volume Shadow kopyalarını siler ve şifrelenmiş dosyalara ‘.ThreeAMtime’ uzantısını ekler. Özellikle şifrelenmiş dosyaların ‘0x666’ adında benzersiz bir işaretleyici dizisi vardır. Gelişen manzara, fidye yazılımı gruplarının farklı taktikler ve işbirliği girişimlerini benimsediğini gösteriyor.
ThreeAM’in blogu Shodan’da IP 5.199.174’te ortaya çıktı[.]149 ve analiz, ‘UAB Cherry Sunucuları’ tarafından barındırılan aynı Apache banner’ına sahip 27 sunucuyu ortaya çıkarıyor. Altı IP öne çıkıyor ve ortak noktaları paylaştıkları görülüyor.
Etki alanları ABD varlıklarını taklit etmek için ‘llc’yi ve ALPHV/BlackCat ve IcedID kötü amaçlı yazılımlarına altyapı bağlantılarını kullanıyor. ThreeAM blogu ayrıca IP 5.199.173’e işaret ediyor[.]56, ilk IP’ye yakın. TLS, Let’s Encrypt sertifikasıyla güvence altına alınmıştır; bir WordPress CMS’sine ev sahipliği yapıyor.
Tek alan adı, kablosuzrepaid626[.]com, Temmuz 2022’de Formbook ve kimlik avına bağlandı. ThreeAM’in fidye yazılımı 85.159.229 IP’sine dayanıyor[.]62. Cring fidye yazılımı taktiklerine benzer şekilde kademesiz enjeksiyonlu bir Cobalt Strike işaretçisi kullandı.
2019-12-05 civarında derlenen “260,6 KB” DLL dosyası olan yük, exConti ve LockBit’in TTP’leriyle uyumludur. ThreeAM ayrıca 10 Ağustos 2023’te oluşturulan ‘ThreeAM1st’ hesabıyla iletişim için X’i kullanıyor.
ThreeAm operatörleri TOR’da çifte gasp konusunda aktif olan bir isim ve utanç blogu çalıştırıyor. Bir Google aptalı, iletişim e-postasını kullanarak net bir web sürümünü ortaya çıkardı. Blog kurban INTECH ile eşleşti ve şu anda etkin değil, ancak yeniden ortaya çıkabilir.
Üst düzey fidye yazılımı ekosistemi hızla gelişiyor ve bu tür tehditlere karşı koymak için proaktif güvenlik önlemleri bir zorunluluk ve esastır.