Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле?

В последние месяцы внимание специалистов компании Intrinsec привлекла группа 3AM (ThreeAM), новый игрок на арене киберпреступности, который показал тесные связи с синдикатом Conti и группировкой Royal.

Новаторские методы шантажа и утечки данных

Уникальной чертой 3AM является их новаторская тактика шантажа. Группировка распространяет информацию об утечке данных через социальные сети жертв, используя ботов для отправки сообщений официальным аккаунтам на платформе X, указывая на утечки данных.

Прямая связь с Conti и Royal ransomware

Первые сообщения о деятельности 3AM появились в сентябре, когда команда Symantec обнаружила переход злоумышленников к использованию программного обеспечения ThreeAM после неудачной попытки развертывания вредоносного ПО LockBit. Дальнейшие исследования выявили, что ThreeAM, скорее всего, связана с группой Royal, которая переименовалась в Blacksuit и состоит из бывших членов группы Team 2 в рамках синдиката Conti.

Технические доказательства и анализ инфраструктуры

Специалисты Intrinsec обнаружили значительное пересечение в каналах коммуникации, инфраструктуре и TTPs (Tactics, Techniques, and Procedures) между 3AM и Conti. Отслеживая IP-адрес, указанный Symantec как индикатор компрометации (185.202.0[.]111), исследователи нашли PowerShell-скрипт для запуска Cobalt Strike, который был обнаружен еще в 2020 году. Кроме того, была замечена активность, похожая на деятельность программы-вымогателя Zeon, а также использование вредоносного ПО IcedID, ранее применяемой группами XingLocker и Conti для доставки вредоносного ПО.

Исследователи также обнаружили, что HTML-содержимое сайта утечки данных 3AM в сети Tor было проиндексировано платформой Shodan для серверов, подключенных к интернету, что означает, что оно было доступно через обычный веб. Cайт утечки данных 3AM в сети Tor показывает список из 19 жертв, которые не заплатили выкуп и чьи данные были опубликованы. Удивительно, что сайт 3AM очень напоминает сайт утечек группировки LockBit.

Связь с литовской компанией Cherry Servers

Исследователи также обнаружили связь между 3AM и серверами литовской компании Cherry Servers. Отличительной особенностью было использование одинаковых портов, протоколов и версий продуктов Apache на 27 серверах компании.

Cherry Servers – это хостинговая компания, которая имеет относительно низкий риск мошенничества, но исследователи обнаружили, что клиенты компании размещали на серверах инструмент Cobalt Strike. Помимо этого, домены на анализируемых IP-адресах имели TLS-сертификаты от Google Trust Services LLC и были перенесены в Cloudflare.

Инновации в социальных сетях

Команда Intrinsec обнаружила, что 3AM, вероятно, тестировала новую тактику шантажа с использованием автоматизированных ответов в X*, чтобы распространять новости об успешных атаках. Такая тактика была применена только в одном случае с жертвой 3AM, что говорит о ее ограниченной эффективности.

Несмотря на то, что группировка ThreeAM кажется менее сложной подгруппой Royal, её нельзя недооценивать из-за потенциала проведения большого количества атак. Это подчеркивает постоянно меняющуюся природу киберпреступности и сложность отслеживания участников конкретных групп или связывания их с операциями.

* Социальная сеть запрещена на территории Российской Федерации.

Public Release.