Uma afiliada do LockBit foi observada implantando uma nova família de ransomware em um ataque recente, depois que a execução do LockBit foi bloqueada, relata a equipe Symantec Threat Hunter da Broadcom.
Quando executado, o novo ransomware, denominado 3 HORAS DA MANHÃ, tenta interromper vários processos associados a ferramentas de segurança e backup. Ele também tenta excluir cópias de sombra de volume para impedir a recuperação de arquivos.
Como parte do ataque observado, o agente da ameaça primeiro executou um comando para despejar as configurações de política aplicadas no computador para um usuário específico, depois implantou vários componentes do Cobalt Strike e tentou escalar privilégios.
Em seguida, os invasores realizaram o reconhecimento, tentando identificar outros servidores para movimentação lateral, adicionaram um novo usuário para persistência e exfiltraram os arquivos das vítimas.
O ator da ameaça então tentou executar o ransomware LockBit. Quando o LockBit foi bloqueado, os invasores mudaram para o ransomware 3AM, que foi executado com sucesso em uma única máquina.
O ransomware anexa a extensão ‘.trêsamtime’ aos arquivos criptografados e deixa cair uma nota de resgate que também faz referência ao nome 3AM.
Escrito em Rust e implantado como um executável de 64 bits, o malware pode ser fornecido com parâmetros de linha de comando específicos e tenta executar comandos automaticamente para interromper processos direcionados.
Em seguida, ele começa a verificar as unidades em busca de arquivos que correspondam a critérios específicos, criptografa-os e exclui os arquivos originais. Em seguida, ele coloca uma nota de resgate chamada ‘RECOVER-FILES.txt’ em cada uma das pastas que verificou.
A Symantec alerta que outras afiliadas de ransomware também foram observadas tentando implantar duas famílias diferentes de ransomware no mesmo ataque, o que pode indicar que as afiliadas estão se tornando mais independentes dos operadores de ransomware.
“Novas famílias de ransomware aparecem com frequência e a maioria desaparece com a mesma rapidez ou nunca consegue ganhar força significativa. No entanto, o fato de 3 da manhã ter sido usado como alternativa por uma afiliada da LockBit sugere que pode ser do interesse dos invasores e pode ser visto novamente no futuro”, observa a Symantec.
