
Une nouvelle souche de ransomware appelée 3AM a été découverte après qu’un acteur malveillant l’a utilisée dans une attaque qui n’a pas réussi à déployer le ransomware LockBit sur un réseau cible.
Les chercheurs affirment aujourd’hui dans un rapport que le nouveau malware « n’a été utilisé que de manière limitée » et qu’il s’agissait d’un repli d’un affilié du ransomware lorsque les mécanismes de défense ont bloqué LockBit.
Événement rare
L’équipe Threat Hunter de Symantec, qui fait partie de Broadcom, affirme que les attaques utilisant le ransomware 3AM sont rares, affirmant qu’elles ne l’ont constaté que lors d’un seul incident lorsqu’un affilié du ransomware l’a adopté parce qu’il ne pouvait pas déployer LockBit.
Breachtrace est au courant d’une attaque de ransomware à 3 heures du matin qui s’est produite en février, à peu près au moment où l’opération semble avoir été lancée, mais n’a pas pu obtenir d’échantillon pour analyse.
L’extorsion par ransomware 3AM suit la tendance courante consistant à voler des données avant de les chiffrer et de déposer une demande de rançon menaçant de vendre les informations volées à moins que l’attaquant ne soit payé.
Vous trouverez ci-dessous une copie expurgée du texte de la demande de rançon contenue dans un fichier nommé « RECOVER-FILES.txt » présent dans chaque dossier analysé par le malware :

L’opération dispose d’un site de négociation très basique sur le réseau Tor qui donne uniquement accès à une fenêtre de discussion de négociation basée sur un mot de passe fourni dans la demande de rançon.
Signaux d’attaque avant le chiffrement
L’équipe Threat Hunter de Symantec affirme que 3AM est écrit en Rust et ne semble avoir aucun rapport avec une famille de ransomwares connue, ce qui en fait un tout nouveau malware.
Avant de commencer à chiffrer les fichiers, 3AM tente d’arrêter plusieurs services exécutés sur le système infecté pour divers produits de sécurité et de sauvegarde de fournisseurs tels que Veeam, Acronis, Ivanti, McAfee ou Symantec.
Une fois le processus de cryptage terminé, les fichiers portent l’extension .THREEAMTIME et le malware tente également de supprimer les clichés instantanés de volume qui pourraient être utilisés pour récupérer les données.
Les chercheurs affirment qu’une attaque de ransomware à 3 heures du matin est précédée de l’utilisation d’une commande « gpresult » qui supprime les paramètres de politique du système pour un utilisateur spécifique.
« L’attaquant a également exécuté divers composants de Cobalt Strike et tenté d’élever les privilèges sur l’ordinateur à l’aide de PsExec » – Symantec Threat Hunter Team
Les chercheurs ont observé l’utilisation de commandes couramment utilisées pour la reconnaissance (par exemple whoami, netstat, quser et net share), l’énumération de serveurs (par exemple quser, net view), l’ajout d’un nouvel utilisateur pour la persistance et l’utilisation de l’ancien client FTP wput. pour copier des fichiers sur le serveur de l’attaquant.
Selon l’analyse des logiciels malveillants de Symantec, l’exécutable 64 bits basé sur 3AM Rust reconnaît les paramètres de ligne de commande suivants :
- « -k » – 32 Base64 characters, the « access key » in the ransom note
- « -p » – unknown
- « -h » – unknown
- « -m » – method, where the code checks one of two values before running encryption logic:
- « local »
- « net »
- « -s » – determines offsets within files for encryption to control encryption speed, expressed as decimal digits.
Bien que les chercheurs découvrent fréquemment de nouvelles familles de ransomwares, peu d’entre elles gagnent suffisamment en popularité pour devenir une opération stable.
Étant donné que 3AM a été utilisé comme alternative à LockBit, il est susceptible de susciter l’intérêt d’autres attaquants et d’être utilisé plus souvent.
Cependant, bien qu’il s’agisse d’une nouvelle menace, généralement plus susceptible de contourner les défenses et de passer inaperçue, 3AM n’a connu que partiellement un succès lors de l’attaque sur laquelle Symantec a enquêté.
Les chercheurs affirment que l’auteur de la menace n’a pu déployer le logiciel malveillant que sur trois machines de l’organisation ciblée et que son activité a été bloquée sur deux des systèmes, ce qui montre qu’il existe déjà des défenses contre lui.
Le rapport de Symantec partage un ensemble de hachages de fichiers pour les échantillons LockBit et 3AM, ainsi que les composants Cobalt Strike utilisés dans les indicateurs d’attaque et de réseau.