Il Ransomware 3AM è nuovo, è scritto in Rust ed ha una particolarità: gli attaccanti lo distribuiscono come ransomware di ripiego nei casi in cui fallisca l’installazione di Lockbit.
Ransomware 3AM: una nuova famiglia
I ricercatori di sicurezza hanno individuato una nuova variante ransomware chiamata 3AM. La particolarità? Gli attaccanti lo hanno utilizzato dopo aver fallito il tentativo di installare il ransomware Lockbit sulla rete bersaglio. Ad ora il ransomware ha avuto scarso impiego, ma vi sono già stati casi in cui è stato utilizzato come ripiego dopo il blocco della routine di attacco di Lockbit. E’ scritto in linguaggio Rust e, almeno a prime analisi, sembra appartenere ad una famiglia ransomware completamente nuova. Non ci sono tracce infatti di porzioni di codice appartenenti o ricollegabili ad altre famiglie ransomware già esistenti.
Il ransomware3AM prevede il meccanismo della doppia estorsione ed ha infatti una funzione che prevede l’esfiltrazione dei dati prima della distribuzione del ransomware.
Prima di avviare la criptazione dei file, il ransomware 3AM prova a bloccare una serie di servizi in esecuzione. Tra questi, principalmente, quelli collegati a vari prodotti antivirus e di backup come Veeam, Acronis, McAfee o Symantec ecc…
Una volta criptati i file, 3AM aggiunge l’estensione di criptazione .THREEAMTIME. Quindi tenta di cancella le Volume Shadow copies così da impedire il ripristino dei dati.
La fase di infezione del ransomware 3AM
La prima attività sospetta correlata al ransomware 3AM è l’uso del comando gpresult per scaricare le impostazioni dei criteri applicati. I ricercatori di Symantec, che hanno analizzato un campione di 3AM, hanno visto anche l’uso di comandi comunemente utilizzati per il riconoscimento (whoami, netstat, quser ecc…), per elencare i server (quser, net view), per aggiungere nuovi utenti e per garantire la persistenza nel sistema. Segnalato anche l’uso dell’utility wput per il client FTP per copiare i file nei server degli attaccanti.
Gli attaccanti hanno ovviamente eseguito anche diversi componenti di Cobalt Strike e hanno tentato di aumentare i privilegi utilizzando PsExec.
A prima vista… è un flop
Come detto, i ricercatori hanno individuato il ransomware 3AM in distribuzione nel corso di un attacco reale nel quale l’attaccante ha fallito il tentativo di installare Lockbit 3.0. In dettaglio, la scelta di utilizzare 3AM è stata mostrata da un affiliato del RaaS Lockbit ma non ha portato buoni risultati.
L’attaccante ha tentato la distribuzione di 3AM sull’intera rete bersaglio ma è riuscito ad accedere solo a 3 computer. Su 2 di questi il ransomware è stato individuato e bloccato. In ogni caso, indipendentemente dalle sorti che il destino riserverà a 3AM, la sua comparsa e il suo utilizzo indicano una tendenza ormai chiara nel mondo del ransomware as a service. Il fatto che un affiliato Lockbit abbia deciso di utilizzare un ransomware diverso contestualizza la sempre maggiore autonomia con la quale gli affiliati riescono a muoversi rispetto ai gestori principali del servizio ransomware.
Qui la nota di riscatto, denominata “RECOVER-FILES.txt”: viene copiata in ogni cartella scansionata.
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet. - Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come