Yeni bir fidye yazılımı ailesi adı verildi sabah 3 hedef ağda LockBit’i (diğer adıyla Bitwise Spider veya Syrphid) yerleştirmeye yönelik başarısız bir girişimin ardından kimliği belirsiz bir bağlı kuruluş tarafından bu türün dağıtıldığı tek bir olayda tespit edildikten sonra ortalıkta ortaya çıktı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda “3AM, Rust’ta yazıldı ve tamamen yeni bir kötü amaçlı yazılım ailesi gibi görünüyor” dedi.
“Fidye yazılımı, dosyaları şifrelemeye başlamadan önce virüslü bilgisayardaki birden fazla hizmeti durdurmaya çalışır. Şifreleme tamamlandıktan sonra Birim Gölgesi (VSS) kopyalarını silmeye çalışır.”
3AM adını fidye notunda bahsedildiği gerçeğinden alıyor. Ayrıca . threeamtime uzantılı şifrelenmiş dosyaları da ekler. Bununla birlikte, kötü amaçlı yazılım yazarlarının bilinen e-suç gruplarıyla herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor.
Symantec tarafından tespit edilen saldırıda, saldırganın fidye yazılımını kuruluşun ağındaki üç makineye dağıtmayı başardığı, ancak bu makinelerden ikisinde engellendiği söyleniyor.
İzinsiz giriş, Cobalt Strike’ın sömürü sonrası ve ayrıcalık artışı için kullanılması ve bunu yanal hareket için diğer sunucuları belirlemek üzere keşif komutları çalıştırarak takip etmesi açısından dikkate değerdir. Saldırıda kullanılan kesin giriş rotası belirsiz.
Symantec, “Ayrıca kalıcılık için yeni bir kullanıcı eklediler ve kurbanların dosyalarını kendi FTP sunucularına aktarmak için Wput aracını kullandılar” dedi.
Rust, 3AM’de yazılan 64 bitlik bir yürütülebilir dosya, çeşitli güvenlik ve yedeklemeyle ilgili yazılımları durdurmak, önceden tanımlanmış ölçütlerle eşleşen dosyaları şifrelemek ve birim gölge kopyalarını temizlemek için bir dizi komutu çalıştıracak şekilde tasarlanmıştır.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Becerilerinizi Güçlendirin
Fidye yazılımının kesin kökeni bilinmemekle birlikte, 9 Eylül 2023’te Reddit’te paylaşılan bir gönderiye göre, operasyona bağlı fidye yazılımı bağlı kuruluşunun diğer varlıkları hedef aldığına dair kanıtlar var.
Symantec, “Fidye yazılımı bağlı kuruluşları, fidye yazılımı operatörlerinden giderek daha bağımsız hale geldi” dedi.
“Yeni fidye yazılımı aileleri sıklıkla ortaya çıkıyor ve çoğu da aynı hızla ortadan kayboluyor veya hiçbir zaman önemli bir ilgi çekmeyi başaramıyor. Bununla birlikte, 3AM’in bir LockBit üyesi tarafından bir yedek olarak kullanılması, bunun saldırganların ilgisini çekebileceğini ve gelecekte tekrar görülebileceğini gösteriyor. gelecek.”