Attraverso l’individuazione di un primo singolo caso è stata individuata una nuova famiglia di ransomware, chiamata 3AM.
L’agente malevolo è stato individuato in seguito a un tentativo fallito di distribuire LockBit e presenta una caratteristica interessante, ovvero il linguaggio di programmazione utilizzato. Stiamo infatti parlando di un eseguibile scritto in Rust e progettato per bloccare eventuali software di sicurezza o utili per effettuare il backup dei dati.
Il Symantec Threat Hunter Team ha affermato a The Hacker News come “3AM è scritto in Rust e sembra essere una famiglia di malware completamente nuova“. Gli stessi esperti, hanno poi spiegato come “Il ransomware tenta di interrompere più servizi sul computer infetto prima di iniziare a crittografare i file“.
I file crittografati, a quanto pare, si presentano con estensione .threamtime. A rendere misterioso 3AM è la sua origine che, al momento, non è stata ancora ricondotta a nessun gruppo di cybercriminali noto.
3AM, il ransomware scritto in Rust di cui si sa ancora molto poco
Secondo Symantec, l’attacco avrebbe finora avuto successo in tre macchine e avrebbe tentato di distribuire Cobalt Strike. In due casi su tre, comunque, il ransomware è stato bloccato prima di aver completato l’infezione.
I ricercatori hanno sottolineato, rispetto ai cybercriminali, come essi “Hanno anche aggiunto un nuovo utente per la persistenza e utilizzato lo strumento Wput per esfiltrare i file delle vittime sul proprio server FTP“.
Stando a Dick O’Brien, principale analista di intelligence di Symantec, ha affermato come “Non abbiamo trovato prove che suggeriscano che questo affiliato abbia utilizzato nuovamente le 3AM, ma non siamo sorpresi di vedere altri rapporti sull’uso del ransomware“.
D’altro canto, l’apparizione di nuovi attacchi di questo tipo non deve sorprendere più di tanto. Per Symantec, infatti “Nuove famiglie di ransomware appaiono frequentemente e la maggior parte di esse scompare altrettanto rapidamente o non riesce mai a ottenere una popolarità significativa. Tuttavia, il fatto che 3AM sia stato utilizzato come fallback da un affiliato di LockBit suggerisce che potrebbe interessare agli aggressori e potrebbe riapparire in il futuro“.