Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле?

Свобода в один клик! VPN через Телеграмм-бот для России:

Как случайно созданный вредонос стал объектом исследования киберпреступного мира.

В последние месяцы внимание специалистов компании Intrinsec привлекла группа 3AM (ThreeAM), новый игрок на арене киберпреступности, который показал тесные связи с синдикатом Conti и группировкой Royal.

Новаторские методы шантажа и утечки данных

Уникальной чертой 3AM является их новаторская тактика шантажа. Группировка распространяет информацию об утечке данных через социальные сети жертв, используя ботов для отправки сообщений официальным аккаунтам на платформе X, указывая на утечки данных.

Прямая связь с Conti и Royal ransomware

Первые сообщения о деятельности 3AM появились в сентябре, когда команда Symantec обнаружила переход злоумышленников к использованию программного обеспечения ThreeAM после неудачной попытки развертывания вредоносного ПО LockBit. Дальнейшие исследования выявили, что ThreeAM, скорее всего, связана с группой Royal, которая переименовалась в Blacksuit и состоит из бывших членов группы Team 2 в рамках синдиката Conti.

Технические доказательства и анализ инфраструктуры

Специалисты Intrinsec обнаружили значительное пересечение в каналах коммуникации, инфраструктуре и TTPs (Tactics, Techniques, and Procedures) между 3AM и Conti. Отслеживая IP-адрес, указанный Symantec как индикатор компрометации (185.202.0[.]111), исследователи нашли PowerShell-скрипт для запуска Cobalt Strike, который был обнаружен еще в 2020 году. Кроме того, была замечена активность, похожая на деятельность программы-вымогателя Zeon, а также использование вредоносного ПО IcedID, ранее применяемой группами XingLocker и Conti для доставки вредоносного ПО.

VPN для России через Телеграмм – обеспечь доступ к любым ресурсам!

Исследователи также обнаружили, что HTML-содержимое сайта утечки данных 3AM в сети Tor было проиндексировано платформой Shodan для серверов, подключенных к интернету, что означает, что оно было доступно через обычный веб. Cайт утечки данных 3AM в сети Tor показывает список из 19 жертв, которые не заплатили выкуп и чьи данные были опубликованы. Удивительно, что сайт 3AM очень напоминает сайт утечек группировки LockBit.

Связь с литовской компанией Cherry Servers

Исследователи также обнаружили связь между 3AM и серверами литовской компании Cherry Servers. Отличительной особенностью было использование одинаковых портов, протоколов и версий продуктов Apache на 27 серверах компании.

Cherry Servers — это хостинговая компания, которая имеет относительно низкий риск мошенничества, но исследователи обнаружили, что клиенты компании размещали на серверах инструмент Cobalt Strike. Помимо этого, домены на анализируемых IP-адресах имели TLS-сертификаты от Google Trust Services LLC и были перенесены в Cloudflare.

Инновации в социальных сетях

Команда Intrinsec обнаружила, что 3AM, вероятно, тестировала новую тактику шантажа с использованием автоматизированных ответов в X*, чтобы распространять новости об успешных атаках. Такая тактика была применена только в одном случае с жертвой 3AM, что говорит о ее ограниченной эффективности.

Несмотря на то, что группировка ThreeAM кажется менее сложной подгруппой Royal, её нельзя недооценивать из-за потенциала проведения большого количества атак. Это подчеркивает постоянно меняющуюся природу киберпреступности и сложность отслеживания участников конкретных групп или связывания их с операциями.

* Социальная сеть запрещена на территории Российской Федерации.

Искусственный интеллект уже умнее вас. Как не стать рабом машин?

Узнайте у нас!

Купить VPN в России означает приобретение услуги виртуальной частной сети (VPN), которая обеспечивает безопасное и анонимное подключение к интернету с территории России. Это может быть особенно актуально в свете ограничений и блокировок, применяемых к определённым ресурсам в стране.

Зачем нужен VPN в России?

• VPN позволяет получить доступ к заблокированным сайтам и сервисам, таким как социальные сети, стриминговые платформы и другие ресурсы.
• Использование VPN помогает скрыть ваш IP-адрес и шифровать интернет-трафик, что защищает ваши данные от перехвата.
• VPN помогает сохранить анонимность при серфинге, предотвращая отслеживание вашей интернет-активности как интернет-провайдерами, так и третьими лицами.
• VPN защищает ваши данные при подключении к общественным Wi-Fi, минимизируя риск кражи информации.