Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Minacce

ThreeAM ransomware: una nuova minaccia in evoluzione 

ThreeAM ransomware emerge come nuova minaccia nel panorama del cybercrime, usata come fallback dopo attacchi falliti. Scopri dettagli e metodi d’azione.

Una nuova minaccia in evoluzione 

12 Marzo 2025

Indice dei contenuti

  • L’origine di ThreeAM ransomware 
  • Funzionamento e caratteristiche del ransomware ThreeAM 
  • Il modus operandi del gruppo hacker ThreeAM 
  • Comunicazione e metodi di estorsione 

Negli ultimi anni, il panorama del ransomware attack si è evoluto con l’emergere di nuovi gruppi di hacker e malware sempre più sofisticati. Tra questi, ha fatto la sua comparsa ThreeAM ransomware, un nuovo ceppo malevolo identificato per la prima volta nel 2023.

Questo ransomware group è stato notato per la sua peculiarità: viene spesso utilizzato come piano B quando altri ransomware, come LockBit, falliscono nel loro attacco iniziale.

In questo articolo, analizzeremo le origini di ThreeAM, le sue caratteristiche principali, il suo metodo di diffusione e i rischi che comporta per le aziende e gli utenti. 

L’origine di ThreeAM ransomware 

Il ThreeAM ransomware è stato identificato per la prima volta nel febbraio 2023, ma è stato ufficialmente menzionato in un rapporto di Symantec pubblicato a settembre dello stesso anno.

L’analisi ha rivelato che un threat actor, dopo aver tentato di diffondere LockBit ransomware senza successo, ha ripiegato su ThreeAM. Questo comportamento suggerisce che 3AM ransomware sia stato sviluppato come alternativa in caso di insuccesso di attacchi primari. 

Un elemento distintivo di ThreeAM è la sua presenza su un dark web data leak site (DLS), il che indica che il gruppo dietro di esso potrebbe utilizzare più ransomware per massimizzare le probabilità di successo e monetizzazione.

Funzionamento e caratteristiche del ransomware ThreeAM 

Il ThreeAM ransomware si distingue per alcune caratteristiche peculiari. Non essendo stato ancora analizzato a fondo a causa della mancanza di campioni disponibili, si sa che utilizza una chiave alfanumerica a 32 bit per identificare la vittima. Inoltre, opera in modo human-operated ransomware (HumOR), richiedendo che i parametri dell’attacco vengano impostati manualmente dagli hacker. 

Una volta infettato un sistema, ThreeAM crittografa i file e modifica le loro estensioni aggiungendo .threeamtime. Viene poi creata una nota di riscatto denominata RECOVER-FILES.txt, che contiene istruzioni su come contattare gli hacker per recuperare i file.

Attualmente, non esiste un decryptor available, quindi le vittime non hanno modo di recuperare i dati senza pagare il riscatto. 

I ransomware group

Il modus operandi del gruppo hacker ThreeAM 

Il hacker ThreeAM utilizza metodi sofisticati per distribuire il suo ransomware. Nonostante non sia ancora chiaro come il malware venga inizialmente distribuito, è probabile che il gruppo sfrutti tecniche di phishing, exploit su server vulnerabili e attacchi RDP brute-force. 

Una delle caratteristiche chiave del ThreeAM ransomware è la cancellazione del volume shadow, ovvero i backup automatici di Windows, rendendo quasi impossibile il recupero dei file senza pagare il riscatto.

Questo approccio è comune tra i ransomware group più avanzati ed è una tattica tipica della double extortion, ovvero la minaccia di pubblicare i dati rubati se il riscatto non viene pagato. 

Comunicazione e metodi di estorsione 

Il ThreeAM ransomware utilizza diversi metodi per comunicare con le vittime e gestire il pagamento del riscatto. Il contatto avviene tramite email ThreeAM@onionmail.org e un sito su Tor. Questo permette agli hacker di rimanere anonimi e di rendere difficile il tracciamento delle transazioni. 

L’estorsione avviene tramite direct extortion e double extortion. Nel primo caso, la vittima è costretta a pagare per recuperare i propri file. Nel secondo caso, oltre alla crittografia dei dati, gli hacker minacciano di pubblicare informazioni sensibili rubate durante l’attacco. 

Domande e risposte 

  1. Cos’è il ThreeAM ransomware?
    È un nuovo ransomware usato come fallback quando altri attacchi falliscono. 
  1. Quando è stato scoperto ThreeAM?

    È stato identificato per la prima volta nel febbraio 2023. 
  1. Come si diffonde il ThreeAM ransomware?
    Probabilmente tramite phishing, exploit di server vulnerabili e attacchi RDP brute-force. 
  1. Cosa succede ai file crittografati da ThreeAM?
    Le loro estensioni vengono modificate con .threeamtime, rendendoli inaccessibili. 
  1. Esiste un decryptor per ThreeAM?
    No, attualmente non esiste un decryptor disponibile. 
  1. Come comunicano gli hacker di ThreeAM con le vittime?
    Tramite email e un sito su Tor per la richiesta del riscatto. 
  1. ThreeAM cancella i backup di Windows?
    Sì, elimina il volume shadow per impedire il recupero dei file. 
  1. Qual è la particolarità di ThreeAM?
    È usato come alternativa quando altri ransomware, come LockBit, falliscono. 
  2. Qual è il nome della nota di riscatto di ThreeAM?
    Il file contenente le istruzioni si chiama RECOVER-FILES.txt. 
3
To top