【新經營方式】3AM專責後備登場 接手被截勒索軟件
每年都有不少新的勒索軟件出現,不過由於市場競爭激烈,這些新加入的黑客組織大都敵不過信譽良好的前輩,在沒有其他犯罪者幫襯下,往往經營一段時間後便自動離場。不過,Symantec 安全專家卻發現,一款新的勒索軟件 3AM 有新的經營手法,黑客未有將它作為攻擊主將推銷,反而以後備方案形式定位,例如在捕獲的一次攻擊事故中,3AM 便只有在 LockBit 勒索軟件被阻截時才接手出場,營銷手法相當有趣。
現時勒索軟件集團已不會像以往一樣獨力經營,因為要入侵企業相當費功夫,所以集團已選擇合夥或即服務(as-a-Service)形式,為持有企業帳戶或網絡入侵方法的人提供勒索軟件服務,當中更包括與受害企業商議及收取贖金,事成後才按一定比例與合夥人對方贖金,著名的勒索軟件集團如 LockBit、BlackCat 都以這種方式經營。
Lockbit 被截 即啟動後備方案
不過,近日 Symantec 安全專家卻捕獲一款全新的勒索軟件 3AM,由於它僅以後備勒索方案形式登場,即在主攻的勒索軟件被企業電腦的安全工具截停後才接手加密電腦設備,因此安全專家自今年 2 月以來,也只捕獲了一次攻擊。
專家解釋,在該次捕獲事件中,入侵者原先希望執行 LockBit 勒索軟件,不過由於被安全工具截停,因此才啟動 3AM 後備方案。3AM 與一般勒索軟件一樣,會先完成盜取機密資料的作業,才開始加密電腦設備及檔案。而在啟動加密指令前,3AM 會試圖停止系統上運行的安全及備份工具,當中包括 Veeam、Acronis、Ivanti、McAfee 或 Symantec 等供應商的產品。完成加密後,檔案會被加入「.THREEAMTIME」檔案延伸名,而 3AM 亦會試圖刪除電腦內的備份檔案,減少受害企業透過備份還原數據的可能性。
專家又發現,攻擊者還執行了各種 Cobalt Strike 組件,使用了一些常用於偵察、列舉伺服器、添加新的持久性帳戶、將文件複製到攻擊者伺服器的指令,並嘗試使用 PsExec 提升帳戶權限。
新勒索軟件成功機率低
從留下的勒索信可見,該集團自稱為 3AM,專家估計可能與勒索軟件執行的時間有關,因為在這段時間,企業一般缺乏安全維護人員當值,但由於只捕獲一次攻擊,因此難以斷言是否正確。而集團成員在信中表明受害企業必須通過留下的暗網地址與他們商議贖金,否則將公開盜取的資料。
不過,由於這次僅有的攻擊只成功在 3 部電腦設備上運行,且被兩部電腦內的安全工具在期間截停,因此顯示有能力對抗這款新勒索軟件。Symantec 在報告內提供了 LockBit 和 3AM 樣本文件 Hash 值及攻擊中使用的 Cobalt Strike 組件和網絡指標,由於 3AM 是用 Rust 編寫,與任何已知勒索軟件集團無關,因此是一種全新的惡意軟件,企業安全管理員不妨研究一下他們的攻擊手法。