درباره باج‌افزار 3AM چه می‌دانیم

0
12
درباره باج‌افزار 3AM چه می‌دانیم

باج‌افزار 3AM چیست؟

3AM (که با نام ThreeAM نیز شناخته می‌شود) یک گروه باج‌افزاری است که اولین‌بار در اواخر سال ۲۰۲۳ ظهور کرد. مانند دیگر تهدیدهای باج‌افزاری، 3AM داده‌های قربانیان را استخراج کرده (با تهدید به انتشار عمومی آن‌ها در صورت عدم پرداخت باج) و نسخه‌های باقی‌مانده در سیستم‌های سازمان‌های هدف را رمزگذاری می‌کند.

پس همان داستان معمول باج‌افزارهاست – استخراج، رمزگذاری، اخاذی؟

تقریباً همین‌طور است، اما جنبه‌های قابل‌توجهی در مورد 3AM وجود دارد که ارزش بحث دارند.

مانند چه چیزی؟

باج‌افزار 3AM از این نظر غیرمعمول است که به زبان برنامه‌نویسی Rust نوشته شده است. این زبان احتمالاً به دلیل تمرکز بر عملکرد بالا توسط سازندگان باج‌افزار انتخاب شده است.

چرا سرعت اهمیت دارد؟

وقتی باید میلیون‌ها فایل را در یک شبکه قربانی رمزگذاری کنید، سرعت بسیار اهمیت دارد. هرچه زمان بیشتری برای سرقت و رمزگذاری داده‌ها طول بکشد، احتمال شناسایی و مختل‌شدن حمله در حین اجرا افزایش می‌یابد.

آیا نکته قابل‌توجه دیگری درباره باج‌افزار 3AM وجود دارد؟

باج‌افزار 3AM فایل‌های رمزگذاری‌شده را با پسوند “.threeamtime” نام‌گذاری می‌کند و یک رشته نشانگر “0x666” به آن‌ها اضافه می‌کند. همچنین، نسخه‌های پشتیبان Volume Shadow را حذف می‌کند تا بازیابی داده‌ها برای قربانیان دشوارتر شود. علاوه بر این، به نظر می‌رسد که 3AM در ابتدا به‌عنوان یک “جایگزین” برای باج‌افزار بدنام LockBit توسعه داده شده باشد.

منظورتان از “جایگزین” چیست؟

نه “جایگزین” به‌معنای “نسخه پشتیبان داده‌ها”، بلکه به‌عنوان “برنامه جایگزین” در صورت شکست حمله LockBit. به نظر می‌رسد 3AM در مواقعی استفاده می‌شده که یک حمله باج‌افزار LockBit موفقیت‌آمیز نبوده است.

تا جایی که یادم است، LockBit با روسیه در ارتباط بود. آیا این در مورد 3AM هم صدق می‌کند؟

بله، درست است. مقامات، “دیمیتری خروشوف”، یک شهروند روس، را به‌عنوان مدیر LockBit معرفی کرده‌اند و حتی برای اطلاعاتی که به دستگیری او منجر شود، جایزه ۱۰ میلیون دلاری تعیین کرده‌اند. خرابکاران سایبری پشت 3AM با LockBit ارتباط قوی دارند، به زبان روسی صحبت می‌کنند و عمدتاً کشورهای مرتبط با غرب را هدف قرار می‌دهند. همچنین، 3AM به باج‌افزار BlackSuit نیز مرتبط است.

چگونه بفهمم که سیستم‌های من توسط باج‌افزار 3AM مورد حمله قرار گرفته‌اند؟

3AM یک یادداشت باج در سیستم‌های هدف قرار می‌دهد که در آن قربانیان را از سرقت داده‌های حساسشان مطلع کرده و پیشنهادی برای توافق برای جلوگیری از فروش داده‌ها در دارک‌وب ارائه می‌دهد.

چه کسانی قربانی باج‌افزار 3AM شده‌اند؟

چندین سازمان قربانی 3AM شده‌اند، از جمله بیمارستان Brunswick در نیویورک، یک شرکت HVAC مستقر در لوئیزیانا، وCity of Hoboken. در مورد City of Hoboken، نه‌تنها شماره‌های تأمین اجتماعی، گواهی‌نامه‌های رانندگی، اطلاعات پرداخت، بهداشت و داده‌های شخصی کارکنان و ساکنان به بیرون درز کرد، بلکه داستان‌های کوتاه اروتیک موجود در رایانه یکی از کارمندان نیز فاش شد.

این خیلی شرم‌آور است. ظاهراً 3AM داده‌های دزدیده‌ شده را در صورت عدم پرداخت باج منتشر می‌کند؟

متأسفانه این‌گونه به نظر می‌رسد. سایت نشت داده‌های دارک‌وب 3AM فهرستی از قربانیان قبلی را نمایش می‌دهد و شامل لینک‌هایی به داده‌های حساس دزدیده‌ شده است.

چه اقداماتی باید انجام دهم؟

بهترین کار این است که پیش از وقوع حمله، دفاع خود را تقویت کنید. پیشنهاد می‌شود از توصیه‌های کلی Tripwire برای محافظت در برابر باج‌افزارها پیروی کنید، از جمله:

  • تهیه نسخه‌های پشتیبان امن خارج از سایت.
  • اجرای راه‌حل‌های امنیتی به‌روز و نصب آخرین پچ‌های امنیتی.
  • محدود کردن توانایی مهاجم برای گسترش جانبی در شبکه از طریق تقسیم‌بندی شبکه.
  • استفاده از رمزهای عبور قوی و فعال‌سازی احراز هویت چندعاملی.
  • رمزگذاری داده‌های حساس.
  • کاهش سطح حمله با غیرفعال کردن قابلیت‌هایی که شرکت شما به آن‌ها نیاز ندارد.
  • آموزش کارکنان درباره ریسک‌ها و روش‌های مورد استفاده مجرمان سایبری.

ایمن بمانید و نگذارید سازمان شما قربانی بعدی گروه باج‌افزاری 3AM شود.

منبع:https://www.tripwire.com/state-of-security/3am-ransomware-what-you-need-know

مقاله قبلیوقت آن رسیده که دیگر آن را “قصابی خوک” ننامیم

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.