Una nueva variedad de ransomware, denominada "3AM", ha hecho su aparición recientemente. Hasta el momento, su uso ha sido bastante restringido. El equipo de Threat Hunter de Symantec, que forma parte de Broadcom, ha documentado su utilización en un único incidente, donde un afiliado de ransomware intentó primero utilizar LockBit en la red de un objetivo predeterminado, para luego, tras encontrar resistencia, optar por 3AM.
Este ransomware ha sido programado usando el lenguaje Rust, marcando el inicio de una línea completamente nueva de malware. Su operativa incluye intentar deshabilitar distintos servicios en el sistema comprometido antes de iniciar el proceso de cifrado de archivos. Posterior a esto, se esfuerza por eliminar las instantáneas de volumen o VSS, una tecnología que permite registrar y mantener un historial de los cambios en un sistema de archivos.
Por ahora, no se ha establecido una conexión clara entre los creadores de 3AM y otros grupos reconocidos en el ámbito del cibercrimen. La identificación y atribución precisas siguen siendo áreas pendientes de investigación. El escenario actual subraya la necesidad de estar alerta y mantener una defensa sólida contra un panorama de amenazas en constante evolución.
Te podría interesar leer sobre: Lockbit: Peligroso Tipo de Ransomware
El agresor inició su operación con una actividad preocupante que implicaba el empleo del comando gpresult; un comando utilizado para recopilar los datos de las directivas de grupo aplicadas a un equipo o usuario específico. Este paso inicial estuvo acompañado del lanzamiento de varios elementos del kit de herramientas Cobalt Strike, un framework utilizado para la explotación de vulnerabilidades en sistemas informáticos. Además, se valió de PsExec para elevar sus privilegios en el sistema comprometido, ganando así mayor control sobre la máquina.
Avanzando en su estrategia, los atacantes desplegaron una serie de comandos destinados a recabar información crucial sobre el sistema y la red, utilizando para ello comandos conocidos como whoami, netstat, quser y net share. Su intención no solo era entender el entorno en el que estaban operando, sino también identificar otros servidores a los que pudieran acceder, utilizando técnicas de movimiento lateral, que les permitieran infiltrarse más profundamente en la red. A esto le siguió la creación de una nueva cuenta de usuario, estableciendo así una presencia persistente en el sistema y facilitando la exfiltración de archivos valiosos mediante el uso de la herramienta Wput hacia su servidor FTP personal.
Aunque su primera opción fue el conocido ransomware LockBit, este fue neutralizado, forzándolos a cambiar su estrategia y optar por el recién llegado 3AM. Sin embargo, este plan B solo tuvo un éxito limitado; de las tres máquinas en las que intentaron desplegarlo, dos lograron resistir el ataque. A pesar del revés, lograron establecerlo en una de ellas, destacando la importancia de contar con múltiples capas de defensa en una estrategia de seguridad informática efectiva.
El ransomware "3AM" recibe su nombre de la manera en que modifica los archivos que cifra, añadiéndoles la extensión .tresamtime. Este detalle no es el único que hace alusión a las 3 a.m.; también se menciona esta hora específica en la nota de rescate que acompaña al ataque:
Investigadores de Symantec han señalado que durante el infructuoso asalto cibernético perpetrado con el uso del ransomware LockBit, los criminales cibernéticos hicieron uso del ransomware 3AM, implementándolo en tres sistemas de la red del ente empresarial atacado. Pese a sus esfuerzos, sólo lograron comprometer uno de los sistemas, siendo neutralizados en dos de ellos.
A lo largo de la operación, se evidenció que los agresores se apoyaron en la herramienta Cobalt Strike tras la explotación inicial, empleando una serie de comandos —como “whoami”, “netstat”, “quser” y “net share”— para ejecutar reconocimientos que les permitieran movilizarse lateralmente en la red. En su intento de establecer una presencia duradera, crearon un nuevo usuario en el sistema. Posteriormente, recurrieron a Wput, una herramienta que facilitó la exfiltración de archivos críticos hacia un servidor FTP bajo su control.
Una vez que consideraron exitoso su ataque, quedaron en espera de una respuesta por parte de las víctimas. Para facilitar las negociaciones respecto al pago del rescate, habilitaron un portal de asistencia técnica en la red TOR, específicamente diseñado para coordinar y gestionar los pagos del rescate con las partes afectadas.
Para mitigar y protegerse ante amenazas como LockBit y el emergente ransomware 3AM, es fundamental adoptar una estrategia de seguridad cibernética multicapa y proactiva. A continuación, se presentan algunas medidas esenciales que las organizaciones deben considerar:
Educación y concienciación:
Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Prevención:
Detección:
Respuesta:
Recuperación:
Asesoramiento experto:
Implementando una estrategia integral que incorpore estas medidas, las organizaciones pueden fortalecer significativamente su resiliencia ante amenazas avanzadas como LockBit y 3AM.