برمجيات الفدية 3AM: نظرة خاطفة على عائلة جديدة من البرامج الضارة. ظهر عائلة جديدة من برامج الفدية تسمى 3AM في البرية بعد أن تم اكتشافها في حادثة واحدة حيث قام أحد الشركاء غير المعروفين بنشر السلالة بعد محاولة غير ناجحة لتسليم LockBit (المُنسب إلى Bitwise Spider أو Syrphid) في الشبكة المستهدفة.
قال فريق Symantec Threat Hunter التابع لشركة Broadcom في تقرير تم مشاركته “يبدو أنها عائلة جديدة تمامًا من البرامج الضارة”.
“تحاول برامج الفدية إيقاف العديد من الخدمات على الكمبيوتر المصاب قبل أن تبدأ في تشفير الملفات. بمجرد اكتمال التشفير ، يحاول حذف نسخ Volume Shadow (VSS)”.
تحصل 3AM على اسمها من حقيقة أنها مُشار إليها في ملاحظة الفدية. كما أنه يضفي على الملفات المشفرة الامتداد .threeamtime. ومع ذلك ، فمن غير المعروف حاليًا ما إذا كان مؤلفو البرامج الضارة لديهم أي صلة بمجموعات الجريمة الإلكترونية المعروفة.
في الهجوم الذي رصده Symantec ، يُقال إن الخصم تمكن من نشر برامج الفدية على ثلاثة أجهزة في شبكة المنظمة ، فقط ليتم حظرها على جهازين من هذه الأجهزة.
الاختراق ملحوظ لاستخدامه Cobalt Strike للاستغلال ما بعد التشغيل ورفع الامتيازات ، يليه تشغيل أوامر استطلاع لتحديد خوادم أخرى للحركة الجانبية. مسار الدخول الدقيق المستخدم في الهجوم غير واضح.
“كما قاموا بإضافة مستخدم جديد للاستمرارية واستخدموا أداة Wput لنقل ملفات الضحايا إلى خادم FTP الخاص بهم” ، لاحظ Symantec.
ماهي لغة البرنامج.
64 بت قابلة للتنفيذ مكتوبة بلغة Rust. تم تصميم 3AM لتشغيل سلسلة من الأوامر لوقف مختلف البرامج المتعلقة بالأمان والنسخ الاحتياطي. وتشفير الملفات التي تطابق معايير محددة. وتنظيف نسخ مظللة من الحجم.
في حين أن الأصل الدقيق لبرامج الفدية لا يزال غير معروف. هناك أدلة تشير إلى أن الشريك التابع لبرامج الفدية المتصل بالعملية يستهدف كيانات أخرى. بناءً على منشور تم مشاركته على Reddit في 9 سبتمبر 2023.
“لم نشاهد أي دليل على أننا نشير إلى أن هذا الشريك قد استخدم 3AM مرة أخرى. لكننا لسنا مندهشين لرؤية تقارير أخرى عن استخدام 3AM”. قال ديك أوبراين. كبير محللي الاستخبارات في Symantec. لصحيفة The Hacker News. “إذا كان أحد شركاء LockBit ذوي الخبرة يستخدمه كحمولة بديلة. فإن هذا يشير إلى أن المهاجمين قد ينظرون إليه على أنه تهديد موثوق”.
“أصبحت شركاء برامج الفدية مستقلة بشكل متزايد عن مشغلي برامج الفدية” ، قال Symantec.
“تظهر عائلات برامج الفدية الجديدة بشكل متكرر وتختفي معظمها بنفس السرعة أو لا تنجح أبدًا في اكتساب زخم كبير. ومع ذلك. فإن حقيقة أن 3AM تم استخدامها كبديل من قبل أحد شركاء LockBit تشير إلى أنها قد تكون موضع اهتمام المهاجمين ويمكن رؤيتها مرة أخرى في المستقبل “.
برمجيات الفدية 3AM: نظرة خاطفة على عائلة جديدة من البرامج الضارة. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.