Gli operatori del ransomware 3AM eseguono attacchi mirati contro i bersagli designati. Gli hacker bombardano i dipendenti delle aziende con e-mail e telefonate, fingendosi personale di supporto, per costringere gli utenti a fornire le credenziali per l’accesso remoto ai sistemi aziendali. Gli esperti di Sophos scrivono che in passato tali tattiche erano utilizzate principalmente dagli autori del ransomware Black Basta e dal gruppo di hacker FIN7, ma ora l’efficacia di tali attacchi ha portato alla loro più ampia diffusione. I ricercatori riferiscono che tra novembre 2024 e gennaio 2025 sono stati rilevati almeno 55 attacchi che hanno utilizzato tali tecniche e collegano l’attività a