En el ciberespacio, las amenazas evolucionan a una velocidad vertiginosa, adaptándose y modificándose para burlar los mecanismos de seguridad que las organizaciones implementan. Una de estas amenazas emergentes es el ransomware 3AM, una variante maliciosa que, aunque trae consigo un aire vintage, encierra peligros modernos que no deben ser subestimados.
Para entender la singularidad del ransomware 3AM, es esencial primero entender el ransomware en sí. El ransomware es un tipo de malware que, una vez infiltrado en el sistema, cifra los archivos del usuario, solicitando un rescate para desbloquearlos. A lo largo de los años, hemos sido testigos de cómo diferentes variantes de ransomware han causado estragos en organizaciones de todo tamaño y sector.
El colectivo de ransomware 3AM ha ganado notoriedad recientemente debido a sus incursiones en el cibercrimen. Sin embargo, lo que realmente ha capturado la atención pública es su selección de tecnología. Un tweet reciente de un experto en seguridad resaltó que la banda de ransomware 3AM está empleando un antiguo script PHP, Yugeon Web Clicks v0.1, lanzado en 2004, para rastrear las visitas a las páginas de su sitio web. Esta predilección por una tecnología desfasada suscita diversas interrogantes acerca del modus operandi del grupo y las motivaciones detrás de tal elección.
Recientemente, los expertos en ciberseguridad han descubierto una nueva variante de ransomware denominada 3AM. Este ransomware fue empleado principalmente como alternativa al ransomware LockBit durante un asalto cibernético que no prosperó. Los asociados a estas redes de ransomware usualmente cuentan con un arsenal diverso de herramientas, y este episodio demuestra su capacidad de adaptación al alternar entre distintas variantes de ransomware con el objetivo de asegurar el éxito en sus incursiones maliciosas. En este escenario específico, tras la frustración del intento inicial con LockBit, los ciberdelincuentes optaron por utilizar 3AM.
Te interesará leer este suceso: Ataque Fallido de LockBit Respaldado por nuevo Ransomware: 3 A.M.
El ransomware 3AM está codificado en el lenguaje de programación Rust y opera como un ejecutable de 64 bits. Posee la habilidad de ejecutar una variedad de comandos que pueden terminar aplicaciones, interferir en los procesos de respaldo y deshabilitar el software de seguridad. Este malware se enfoca específicamente en archivos que coinciden con ciertos criterios preestablecidos y añade la extensión ".tresamtime" a los nombres de los archivos afectados. Además, intenta eliminar las copias de las instantáneas de volumen (Volume Shadow Copies o VSS, por sus siglas en inglés).
La elección del script Yugeon Web Clicks de 2004 resulta desconcertante. Surge la interrogante de por qué un grupo de ransomware en ascenso optaría por una tecnología tan desfasada. A continuación, te presentamos algunas razones plausibles:
Sin embargo, esta elección también somete al grupo a ciertos riesgos. El empleo de tecnología obsoleta con vulnerabilidades conocidas puede volver sus operaciones vulnerables a ataques externos, contramedidas o incluso sabotajes por parte de otros actores de amenazas.
A pesar de la diversidad de actores de amenazas, el anonimato que ofrece Internet indica que algunos individuos reales podrían estar operando en dominios similares bajo varias identidades. Casos como el despliegue de 3AM, cuando la variante LockBit mencionada anteriormente no logró su cometido, y el reciente hallazgo de sitios web idénticos, respaldan esta idea. Esta tendencia es especialmente marcada dentro de la comunidad de ransomware.
Te podría interesar leer: Lockbit: Peligroso Tipo de Ransomware
En conclusión, la elección del grupo de ransomware 3AM de emplear un script PHP anticuado pone de manifiesto la naturaleza impredecible de los ciberdelincuentes. Aunque utilizan variantes avanzadas de ransomware para asediar a las organizaciones, sus decisiones respecto al backend podrían estar motivadas por una mezcla de estrategia, conveniencia y exceso de confianza. Las organizaciones deben mantenerse en guardia y asumir una postura de seguridad robusta, dado que las amenazas pueden emanar tanto de tecnologías avanzadas como obsoletas.
En TecnetOne, ofrecemos nuestro SOC as a Service para un seguimiento avanzado de los actores de amenazas, permitiendo a las organizaciones monitorear y comprender proactivamente las tácticas de los actores de amenazas y los grupos APT. A través de la recopilación de datos automatizada y el análisis impulsado por IA en diversas capas web, nuestro SOC como Servicio alerta a los usuarios sobre las actividades de APT, potenciando su capacidad para identificar y neutralizar acciones maliciosas.