Threeam

Überblick

Bei 3AM — auch als „ThreeAM“ bezeichnet — handelt es sich um eine eigenständige Ransomware-Familie, die vom Forschungsteam von Symantec dokumentiert wurde. Auffällig ist der Zusammenhang mit der LockBit-Operation: Ein Ransomware-Partner versuchte zunächst, LockBit im Zielnetzwerk auszubringen. Nachdem dieser Einsatz Berichten zufolge unterbunden worden war, wich der Akteur auf 3AM aus. Daraus lässt sich ableiten, dass 3AM von Partnern als Ausweich- oder Ersatzwerkzeug genutzt wird, wenn etabliertere Verschlüsselungsschadprogramme scheitern. Die Gruppe betreibt eine auf das Tor-Netzwerk gestützte Leak-Website, auf der sie sich öffentlich präsentiert und Opfer benennt, was auf ein Vorgehen nach dem Muster der doppelten Erpressung hindeutet. Die Operation richtet sich gegen Unternehmensnetzwerke unter Windows und ist über einen längeren Zeitraum aktiv. Als vergleichsweise junge Familie tritt 3AM bislang eher punktuell und im Umfeld erfahrener Partner in Erscheinung.

Taktiken & Vorgehen

Zur dauerhaften Verankerung im Netzwerk legt der Akteur eigene Konten an (Create Account). Mittels PsExec wird ein Windows-Dienst missbraucht, um von Administratorrechten auf SYSTEM zu eskalieren; zur Umgehung der Benutzerkontensteuerung kommt Cobalt Strike zum Einsatz. Zur Verschleierung löscht die ausführbare Datei die Windows-Ereignisprotokolle und verändert die Firewall-Richtlinie. Für die Erkundung nutzt 3AM Advanced IP Scanner und MASSCAN sowie Befehle wie „whoami“, „netstat“, „quser“, „net view“ und „net share“; mit „gpresult“ werden Gruppenrichtlinien ausgelesen. Die Datenabfluss erfolgt über das Werkzeug „Wput“ per FTP auf einen vom Akteur kontrollierten Server. Anschließend verschlüsselt die Ransomware Dateien und hängt die Endung „.threeamtime“ an. Zur Sabotage der Wiederherstellung werden Volumeschattenkopien und Sicherungen gelöscht.

Schutzmaßnahmen

Der Einsatz von PsExec und die Erzeugung neuer Dienste sollten überwacht und administrative Werkzeuge eingeschränkt werden, um die Rechteausweitung auf SYSTEM zu erschweren. Die Neuanlage von Konten ist zu protokollieren und auf unberechtigte Einträge zu prüfen. Da Cobalt Strike zur Umgehung der Benutzerkontensteuerung genutzt wird, sollten entsprechende Schutzmechanismen verschärft konfiguriert werden. Ereignisprotokolle sollten zentral und manipulationssicher ausgeleitet werden, da die Schadsoftware lokale Protokolle löscht. Änderungen an der Firewall-Richtlinie sind zu alarmieren. Erkundungswerkzeuge wie Advanced IP Scanner und MASSCAN sowie ausgehende FTP-Verbindungen über „Wput“ sollten am Netzwerkübergang erkannt und unterbunden werden. Der Zugriff auf Volumeschattenkopien ist zu überwachen, um deren Löschung frühzeitig zu erkennen.