Conti e Royal hanno trovato un potente alleato: entrano in gioco i black hacker di 3AM

Negli ultimi mesi i ricercatori di Intrinsec hanno analizzato il gruppo 3AM (ThreeAM). SI tratta di un nuovo attore nell’arena del crimine informatico, che ha mostrato stretti legami con il sindacato Conti e il gruppo Royal.

Una caratteristica unica di 3AM sono le loro innovative tattiche di ricatto. Il gruppo diffonde informazioni sulle fughe di dati attraverso i social network delle vittime. Questo avviene utilizzando bot per inviare messaggi direttamente sugli account ufficiali sulla Piattaforma X pubblicizzando i dati esfiltrati.

Chi sono i criminali informatici di 3AM

Le prime segnalazioni delle attività di 3AM sono emerse a settembre. Questo a seguito della scoperta di un tentativo fallito di distribuire il malware LockBit. Ulteriori ricerche hanno rivelato che un altro gruppo chiamato ThreeAM è molto probabilmente associato al gruppo Royal. Il gruppo si è ribattezzato Blacksuit ed è composto da ex membri del gruppo Team 2 all’interno del sindacato di Conti.

Intrinsec ha scoperto una significativa sovrapposizione nei canali di comunicazione, nelle infrastrutture e nelle TTP (tattiche, tecniche e procedure) tra 3AM e Conti. Tracciando l’indirizzo IP (185.202.0[.]111) , Symantec ha rilevato degli indicatori di compromissione relativi ad uno script PowerShell per avviare Cobalt Strike scoperto nel 2020. 

Inoltre, è stata osservata un’attività simile a quella del ransomware Zeon. Nonché l’utilizzo del malware IcedID, precedentemente utilizzato dai gruppi XingLocker e Conti per diffondere malware.

I ricercatori hanno anche scoperto che il contenuto HTML del sito di fuga di dati 3AM sulla rete Tor era indicizzato dalla piattaforma Shodan. Questo sta a significare che era presente la possibilità di accesso direttamente dal clear web. Il DLS di 3AM sulla rete Tor mostra 19 vittime che non hanno pagato il riscatto e i cui dati sono stati pubblicati. Sorprendentemente, il sito delle 3 del mattino è molto simile al sito dei leak di LockBit.

Nuove Tecniche Tattiche e Procedure in arrivo

I ricercatori hanno scoperto una connessione tra 3AM e i server della società lituana Cherry Servers. Una caratteristica distintiva è l’utilizzo delle stesse porte, protocolli e versioni dei prodotti Apache sui 27 server dell’azienda.

Il team di Intrinsec ha scoperto che 3AM stava probabilmente testando nuove tattiche di ricatto utilizzando risposte automatiche in X per diffondere notizie di attacchi. Questa tattica è stata utilizzata solo in un caso che coinvolgeva una vittima, indicando la sua efficacia limitata.

Anche se ThreeAM sembra essere un sottogruppo meno sofisticato di Royal, non è da sottovalutare per la sua potenzialità. Ciò evidenzia la natura in continua evoluzione della criminalità informatica e la difficoltà di rintracciare i membri di gruppi specifici o collegarli alle operazioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione