۳ صبح(3AM): خانواده باج‌افزار جدید از حمله ای که در گذشته شکست خورده است و به اسم LockBit وجود داشت ، استفاده می کند.

 

پس از اینکه استقرار LockBit در شبکه هدف مسدود شد، مهاجمان به باج‌افزار جدید متوسل شدند و تولد باج افزار جدید را اعلام کردند .

در مورد محافظت در برابر باج افزار بیشتر بدانید

خانواده باج افزار جدیدی که خود را 3AM می نامند، پدیدار شده است. تا به امروز، این باج افزار فقط به صورت محدود مورد استفاده قرار گرفته است. تیم شکارچی تهدید سیمانتک، بخشی از Broadcom، مشاهده کرده است که در یک حمله توسط یک باج‌افزار وابسته که سعی در استقرار LockBit در شبکه هدف داشت و سپس با مسدود شدن LockBit به ساعت 3 صبح تغییر می‌کند، استفاده شده است.

3AM در Rust نوشته شده است و به نظر می رسد یک خانواده بدافزار کاملاً جدید باشد. باج‌افزار تلاش می‌کند تا قبل از شروع به رمزگذاری فایل‌ها، چندین سرویس را در رایانه آلوده متوقف کند. هنگامی که رمزگذاری کامل شد، سعی می‌کند کپی‌های Volume Shadow (VSS) را حذف کند. هنوز مشخص نیست که آیا نویسندگان آن ارتباطی با سازمان های شناخته شده جرایم سایبری دارند یا خیر.

 

آمادگی حمله

 

اولین فعالیت مشکوک عامل تهدید شامل استفاده از دستور gpresult برای حذف تنظیمات خط مشی اعمال شده بر روی رایانه برای یک کاربر مشخص بود. مهاجم همچنین اجزای مختلف Cobalt Strike را اجرا کرد و سعی کرد با استفاده از PsExec امتیازات را در رایانه افزایش دهد.

مهاجمان سپس دستورات شناسایی مانند whoami، netstat، quser و net share را اجرا کردند و سعی کردند با دستور quser و net view سرورهای دیگر را برای حرکت جانبی برشمارند. آنها همچنین یک کاربر جدید برای ماندگاری اضافه کردند و از ابزار Wput برای استخراج فایل های قربانیان به سرور FTP خود استفاده کردند.

مهاجمان ابتدا سعی کردند از باج افزار LockBit استفاده کنند اما زمانی که این باج افزار مسدود شد، به جای آن به ساعت 3 صبح متوسل شدند. استفاده از 3AM فقط تا حدی موفقیت آمیز بود. مهاجمان فقط موفق شدند آن را در سه ماشین موجود در شبکه سازمان مستقر کنند و در دو تا از این سه کامپیوتر مسدود شد.

 

تحلیل ساعت 3 صبح

 

تولد باج افزار جدید که 3AM  نامیده می شود به این دلیل است که فایل های رمزگذاری شده با پسوند .threeamtime را اضافه می کند. در یادداشت باج به ساعت 3 صبح نیز اشاره شده است:

سلام. «ساعت سه بامداد» زمان راز و نیاز نیست؟

همه فایل‌های شما به‌طور مرموزی رمزگذاری شده‌اند و سیستم‌ها «هیچ نشانه‌ای از حیات نشان نمی‌دهند»، نسخه‌های پشتیبان ناپدید شدند. اما ما می توانیم خیلی سریع این را اصلاح کنیم و تمام فایل های شما و عملکرد سیستم ها را به حالت اولیه برگردانیم.

تمام تلاش های شما برای بازیابی داده ها توسط خودش قطعاً به آسیب آنها و عدم امکان بازیابی منجر می شود. ما به شما توصیه نمی کنیم که این کار را به تنهایی انجام دهید!!! (یا با خطر و خطر خود انجام دهید).

یک نکته مهم دیگر وجود دارد: ما مقدار نسبتاً زیادی از داده های حساس را از شبکه محلی شما سرقت کردیم: اسناد مالی. اطلاعات شخصی کارکنان، مشتریان، شرکای شما؛ اسناد کاری، مکاتبات پستی و موارد دیگر.

ما ترجیح می دهیم آن را مخفی نگه داریم، ما هیچ هدفی برای از بین بردن کسب و کار شما نداریم. بنابراین نمی تواند از طرف ما نشتی داشته باشد.

ما پیشنهاد می کنیم به توافق برسیم و یک معامله منعقد شود.

در غیر این صورت، داده های شما به DarkNet/DarkWeb فروخته می شود. فقط می توان حدس زد که چگونه از آنها استفاده می شود.

لطفا در اسرع وقت با استفاده از مرورگر Tor با ما تماس بگیرید:

http://threeam7[REDACTED].onion/recovery

کلید دسترسی:

[32 CHARS SPECIFIED BY -k COMMAND LINE PARAMETER]

 

باج افزار یک فایل اجرایی 64 بیتی است که در Rust نوشته شده است و پارامترهای خط فرمان زیر را تشخیص می دهد:

“-k” – 32 کاراکتر Base64 که در یادداشت باج به عنوان “کلید دسترسی” نامیده می شود.
“-p” – ناشناخته
“-h” – ناشناخته
“-m” – روش، که در آن کد یکی از دو مقدار را قبل از اجرای منطق رمزگذاری بررسی می کند:
“محلی”
“خالص”
“-s” – تعدیل‌های درون فایل‌ها را برای رمزگذاری برای کنترل سرعت رمزگذاری تعیین می‌کند. این به صورت ارقام اعشاری بیان می شود.

پارامترهای خط فرمان “-m” و “-h” متقابل هستند. استفاده از پارامترهای “-h” و “-m” و مقادیر آن “local” و “net” بسیار شبیه به آرگومان های استفاده شده توسط Conti است.

سپس باج افزار دیسک را اسکن می کند و هر فایلی که با معیارهای از پیش تعریف شده مطابقت داشته باشد رمزگذاری شده و فایل های اصلی حذف می شوند. سپس بدافزار فایل “RECOVER-FILES.txt” را در هر پوشه اسکن شده ایجاد می کند. این فایل حاوی یادداشت باج است.

فایل های رمزگذاری شده حاوی یک رشته نشانگر “0x666” هستند و به دنبال آن داده های اضافه شده توسط باج افزار.

پس از رمزگذاری، بدافزار تلاش می کند تا دستور زیر را برای حذف نسخه های پشتیبان حجم سایه اجرا کند:

vssadmin.exe delete shadows /all /quiet

 

علائم هشدار دهنده

 

شرکت‌های وابسته به باج‌افزار به‌طور فزاینده‌ای از اپراتورهای باج‌افزار مستقل شده‌اند و این اولین باری نیست که سیمانتک شاهد تلاش مهاجم برای استقرار دو نوع باج‌افزار مختلف در یک حمله واحد است.

در تولد باج افزار جدید که خانواده‌های باج‌افزار جدید اغلب ظاهر می‌شوند و اکثر آنها به همان سرعت ناپدید می‌شوند یا هرگز نمی‌توانند کشش قابل توجهی به دست آورند. با این حال، این واقعیت که 3AM به عنوان یک بازگشت توسط یک شرکت وابسته به LockBit استفاده شد، نشان می‌دهد که ممکن است برای مهاجمان جالب باشد و در آینده دوباره دیده شود.

 

حفاظت / کاهش

 

برای اطلاع از آخرین به‌روزرسانی‌های حفاظتی، لطفاً از بولتن حفاظتی سیمانتک دیدن کنید.

 

شاخص های سازش

 

اگر یک IOC مخرب باشد و فایل در دسترس ما باشد، محصولات Symantec Endpoint آن فایل را شناسایی و مسدود خواهند کرد.

 

هش فایل SHA256:

 

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22 – LockBit

307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e – 3 صبح

680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4 – کوبالت اعتصاب

991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af – کوبالت اعتصاب

ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc – کوبالت اعتصاب

 

شاخص های شبکه:

185.202.0[.]111

212.18.104[.]6

85.159.229[.]62