新型3AM勒索病毒的攻击报告

关键要点

在针对某网络的LockBit勒索攻击失败后，攻击者利用新型3AM勒索病毒发动攻击。攻击者使用了系统命令和特权提升工具来准备勒索攻击，最终加密了计算机上的文件。被加密的文件会添加“THREEAMTIME”扩展名，且卷影副本会被删除以阻止文件恢复。尽管这次攻击只在三台计算机上实施，但研究人员警示更多的攻击者可能会利用这一病毒。

根据 BleepingComputer 的报道，一种新的 3AM 勒索病毒在二月被勒索病毒合作伙伴部署，此前他们对某个目标网络进行的 LockBit 勒索攻击未能成功。根据赛门铁克 (Symantec) 威胁猎手团队的报告，攻击者在利用 gpresult 命令进行系统策略设置转储之后，通过 PsExec 工具进行特权提升，进行了侦察活动，为随后的勒索攻击做准备。

蚂蚁加速官网网址

攻击者随后使用 Rust 编写的 3AM 勒索病毒，这一病毒会在文件加密之前终止受损系统上的多个安全及备份服务。被 3AM 勒索病毒加密的文件会追加 THREEAMTIME 扩展名，而卷影副本则会被删除，以防止用户恢复文件。尽管此次勒索攻击仅在三台计算机上进行，其中两台的恶意活动被阻止，但研究人员指出，未来可能会有更多的攻击者利用 3AM 勒索病毒。

关键活动描述勒索病毒类型3AM决策命令gpresult提权工具PsExec加密扩展名THREEAMTIME恶意活动阻止2台计算机上阻止了恶意活动

引用研究人员提供的文件哈希和用于攻击的 Cobalt Strike 组件，研究显示未来的攻击可能会扩展至更多计算机。对于网络安全团队而言，持续的监控和防御措施显得尤为重要，以防范此类新型勒索病毒的威胁。