Фахівці Symantec Threat Hunter повідомили про новий вірус-шифрувальник 3AM, який розпочали використовувати зловмисники в разі провалу розгортання вимагача LockBit при здійснені цільової атаки на інфраструктуру жертви.
Досліджена фахівцями Symantec Threat Hunter атака вказує, що використання шифрувальника 3AM для зловмисників було запасним варіантом в разі блокування захисними засобами розгортання LockBit, але їм вдалося розгорнути шифрувальник дуже обмежено – від 3AM постраждало лише три комп’ютера.
Фахівці з інформаційної безпеки дослідили екземпляри вирусу-шифрувальника 3AM та дійшли висновку, що це зовсім новий різновид шкідливого коду, який було написано на Rust. Вірус-шифрувальник 3AM намагається зупинити роботу системних служб та спеціалізованого програмного забезпечення, які відповідають за безпеку та резервне копіювання, видаляє тіньові копії даних та запускає процес шифрування. Зашифровані файли отримують розширення .THREEAMTIME. Для закріплення в атакованій системі вірус-шифрувальник створює окремого користувача та використовує компоненти Cobalt Strike та PsExec для отримання прав адміністратора.
Експерти з кібербезпеки радять користувачам обережно поводитися з підозрілими електронними листами та не відкривати вкладення в них. Своєчасно встановлювати оновлення для операційної системи, антивірусів та іншого програмного забезпечення. Виконувати резервування інформації із суворим дотриманням правила 3-2-1: мати мінімум 3 екземпляри даних в двох різних форматах та зберігати одну копію інформації в окремому місці.
- 14.04.2024 Mirai розгортає ботнет на вразливих NAS D-Link
- 13.04.2024 Крупне оновлення Microsoft закриває дві 0-day вразливості
- 30.03.2024 World Backup Day – час перевірити процес резервування за чек-листом
- 19.11.2023 Microsoft виправила критичні вразливості, які вже було використано в реальних атаках
- 12.11.2023 NTLM-токени можливо вкрасти за допомогою Access