3AM Ransomware

新しいランサムウェアファミリが確認されています。
名前は3AMです。
暗号化の終わったファイルの拡張子を「.threeamtime」と変えるため、このように命名されました。
まだ事例は多くない状況ですが、こんな流れで侵害が進みます。

• 準備
  なんらかの手法で入手した認証情報で侵害先にログインします。
  そしてそのユーザのポリシー設定を入手します。
  Cobalt Strikeを多くのコンポーネントとともに送り込み、権限昇格を狙います。
  whoami、netstat、quser、net shareなどのコマンドを使い、偵察行為を実行します。
  また横展開のため、周辺のサーバの情報を収集します。

   

• 持ち出し
  永続化に利用できるユーザを作成し、wputコマンドで環境にあるファイル群を持ち出します。
  wputはwgetに似たコマンドラインのアップロード用ftpクライアントです。
  そして非対話型で、バックグラウンド対応です。
  ファイルまたはディレクトリ全体をアップロードでき、不安定な接続でも堅牢なクライアントとなることを目的としているため、再試行します。
  接続が切断された場合でも、ファイルアップロードを継続できます。

   

• 安全機構の停止
  多くのコマンドの実行により、安全機構の停止を試みます。
  停止されるのはセキュリティやバックアップ関連のソフトウェアです。

   

• 暗号化
  環境にあるファイルを暗号化していきます。
  暗号化の実施とともに、身代金メモも配置します。

   

• バックアップの削除
  ボリュームシャドウコピーサービスで作成されたバックアップの内容を破棄しようとします。

この新しいランサムウェアは、LockBitの攻撃被害にあっていた被害環境で観測されています。
攻撃者はLockBitで侵害行為を開始したのですが、期待した効果を得ることができず、2番目の策として3AMを使用しました。
こういった一つの事例で複数のランサムウエアが使用されるという事例はこれまではあまりありませんでした。

3AMはRustで新しく実装されたものですので、拡張しやすい、とか、解析されにくい、などの脅威アクターにとって魅力あるポイントがあるのかもしれません。
今後の警戒が必要なマルウェアが増えたということなのでしょうか。

参考記事（外部リンク）：3AM: New Ransomware Family Used As Fallback in Failed
LockBit Attack
symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit