Keluarga ransomware 3AM telah muncul di internet setelah terdeteksi dalam satu insiden di mana afiliasi tak dikenal menyebarkan strain tersebut setelah upaya yang gagal untuk mengirimkan LockBit yang dikaitkan dengan Bitwise Spider atau Syrphid di jaringan target. 3AM ditulis dalam Rust dan tampaknya merupakan keluarga malware yang benar-benar baru.
Ransomware mencoba menghentikan beberapa layanan di komputer yang terinfeksi sebelum mulai mengenkripsi file. Setelah enkripsi selesai, ia mencoba menghapus salinan Volume Shadow (VSS). 3AM mendapatkan namanya yang direferensikan dalam catatan tebusan.
Itu juga menambahkan file terenkripsi dengan ekstensi .threeamtime. Meskipun demikian, saat ini tidak diketahui apakah pembuat malware memiliki koneksi dengan kelompok kejahatan elektronik yang dikenal.
Dalam serangan yang ditemukan oleh Symantec, musuh dikatakan telah berhasil menyebarkan ransomware ke tiga mesin di jaringan organisasi, namun kemudian diblokir di dua mesin tersebut. Intrusi ini terkenal karena menggunakan Cobalt Strike untuk pasca-eksploitasi dan peningkatan hak istimewa, menindaklanjutinya dengan menjalankan perintah pengintaian untuk mengidentifikasi server lain untuk pergerakan lateral.
Rute masuk yang digunakan dalam serangan itu tidak jelas. Mereka juga menambahkan pengguna baru untuk persistensi dan menggunakan alat Wput untuk mengekstrak file korban ke server FTP mereka sendiri.
Eksekusi 64-bit yang ditulis dalam Rust, 3AM dirancang untuk menjalankan serangkaian perintah untuk menghentikan berbagai perangkat lunak terkait keamanan dan pencadangan, mengenkripsi file yang cocok dengan kriteria yang telah ditentukan, dan membersihkan salinan bayangan volume. Meskipun asal usul ransomware masih belum diketahui, terdapat bukti yang menunjukkan bahwa afiliasi ransomware yang terkait dengan operasi tersebut menargetkan entitas lain, berdasarkan postingan yang dibagikan di Reddit.
Jika afiliasi LockBit yang berpengalaman menggunakannya sebagai muatan alternatif, hal ini menunjukkan bahwa penyerang mungkin melihatnya sebagai ancaman yang dapat dipercaya. Afiliasi Ransomware menjadi semakin independen dari operator ransomware.
Keluarga ransomware baru sering muncul dan sebagian besar menghilang dengan cepat atau tidak pernah berhasil mendapatkan daya tarik yang signifikan. Namun fakta bahwa ransomware 3AM digunakan sebagai pengganti oleh afiliasi LockBit menunjukkan bahwa ini mungkin menarik bagi penyerang dan dapat dilihat lagi di masa depan.
