Le ransomware 3AM est une nouvelle variante de logiciel malveillant qui a été découverte récemment. Il a été identifié pour la première fois lorsque des acteurs de la menace l'ont utilisé comme solution de repli après l'échec d'une tentative de déploiement du ransomware LockBit. Le ransomware 3AM chiffre exclusivement les fichiers qui répondent à des critères prédéfinis et ajoute l'extension ".threeamtime" aux noms de fichiers compromis. Il tente d'arrêter les services de sécurité et de sauvegarde avant de chiffrer les fichiers et de supprimer les originaux. Le logiciel malveillant tente également de supprimer les copies du Volume Shadow et laisse une note de rançon dans chaque dossier analysé, menaçant de vendre les données volées si la rançon n'est pas payée.

Le ransomware 3AM est un exécutable 64 bits écrit en Rust, ce qui en fait une toute nouvelle famille de logiciels malveillants. Il utilise diverses méthodes pour échapper aux mesures de sécurité et aux systèmes de sauvegarde, ce qui indique un certain niveau de sophistication de la part de ses créateurs. Le logiciel malveillant utilise des commandes de reconnaissance spécifiques telles que "whoami", "netstat", "quser" et "net share" après avoir exploité des systèmes à l'aide de Cobalt Strike, ce qui laisse supposer des activités post-exploitation pour un mouvement latéral.

Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce malware.