Специалисты компании Symantec описалиновое семейство программ-вымогателей под названием 3AM, обнаруженное в единственном инциденте, в котором неопознанный хакер развернул штамм после неудачной попытки установить программу-вымогатель LockBit в целевой сети.
Команда Symantec Threat Hunter Team заявляет, что 3AM написан на Rust и представляет собой совершенно новое семейство вредоносных программ. Программа-вымогатель пытается остановить несколько служб на зараженном компьютере, прежде чем она начнет шифровать файлы. После завершения шифрования 3AM удаляет теневые копии тома (Volume Shadow Copy, VSS часто используется в решениях для резервного копирования и восстановления данных, таких как Windows Backup, а также в некоторых корпоративных системах хранения данных. Такие снимки могут быть полезными при необходимости восстановить состояние системы или файлов к определенному времени.
Если киберпреступники удаляют эти снимки, это существенно затрудняет процесс восстановления данных без уплаты выкупа. Удаление теневых копий является распространенной тактикой среди создателей программ-вымогателей, поскольку это повышает вероятность того, что жертвы будут вынуждены заплатить за расшифровку своих файлов.