threeam
Perfil del Actor
threeam es un grupo de amenaza relacionado con ransomware que emergió en el año 2023 como una opción secundaria cuando las infecciones por LockBit fallaron. Este ciberamenaza está desarrollado en Rust para sistemas de 64 bits y utiliza técnicas específicas para encriptar archivos y extorsionar a víctimas.
El nombre "threeam" se deriva del término "Three AM", lo que sugiere una conexión con operaciones nocturnas o actividades maliciosas en horas tempranas de la mañana. Aunque no hay datos completos sobre su formación, se sabe que opera como un actor de amenaza activo desde el final de 2023.
Origen y Motivación
threeam fue identificado como una familia de ransomware relativamente nueva. Su motivación principal parece estar relacionada con la extorsión financiera, combinando encriptación de archivos con el robo de datos sensibles para aumentar la presión sobre las víctimas. No se han reportado detalles específicos sobre su origen geográfico o estructura interna.
Técnicas y Tacticas (TTPs)
threeam utiliza una estrategia de doble extorsión, encriptando archivos y robando datos sensibles para amenazar a las víctimas con la publicación de información secuestrada. Algunas técnicas clave incluyen:
- Cifrado de archivos: Añade una extensión específica (".threeamtime") a los archivos encriptados.
- Marca de identificación: Incluye un marcador específico ("0x666") en los archivos cifrados para facilitar su reconocimiento.
- Borrado de copias de seguridad: Elimina volúmenes de shadow copies para dificultar la recuperação de datos.
Campanas Conocidas
Se han reportado actividades relacionadas con threeam, aunque no se disponen de detalles específicos sobre campañas individuales. Se menciona que el grupo ha operado en un contexto donde las infecciones por LockBit fallaron, lo que sugiere una conexión con otras amenazas actuales.
Objetivos y Víctimas
threeam parece enfocarse en organizaciones que poseen datos sensibles o valorables. Las víctimas incluyen empresas que almacenan información crítica, lo que hace que el doble extorsión sea una herramienta efectiva para maximizar la presión económica.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Hash | d4cd0dabcf4caa22ad92fab40844c786 | Extraído de fuentes OSINT verificadas |
| Dominio | duckduckgo.com | Relacionado con análisis de amenazas y IOCs |
Detección y Defensa
Para detectar threeam, es crucial monitorear archivos con la extensión ".threeamtime" y verificar la presencia del marcador "0x666". También se debe revisar el borrado de copias de seguridad para identificar actividades sospechosas. La defensa incluye:
- Backups regulares: Asegurar que los datos estén protegidos contra encriptación.
- Capacitación de empleados: Prevenir la infección por ransomware mediante conciencia sobre amenazas actuales.
- Monitorización de amenazas: Utilizar plataformas de inteligencia de amenazas para detectar patrones asociados a threeam.