Wat je moet weten over 3AM Ransomware: Een nieuwe dreiging in de cyberwereld

Ransomware-aanvallen — je hoort er tegenwoordig bijna dagelijks over. Het lijkt wel alsof geen enkele organisatie nog veilig is. Één van de laatste dreigingen in dit landschap? 3AM Ransomware. En nee, we hebben het niet over een horrorfilm die zich om drie uur ‘s nachts afspeelt, maar over een serieuze cyberdreiging die zich snel verspreidt.

Laten we eerlijk zijn: cybercriminelen worden steeds creatiever. 3AM Ransomware, een relatief nieuwe speler in de ransomware-wereld, heeft recentelijk de aandacht getrokken vanwege zijn unieke aanpak en mystieke verwijzingen in de losgeldnotities. Deze ransomware wordt vaak ingezet als ‘plan B’ wanneer andere ransomware-aanvallen, zoals LockBit, mislukken. Maar wat maakt 3AM zo bijzonder en waarom moet jij je hier zorgen om maken?

In deze blog nemen we je mee door de ins en outs van 3AM Ransomware. We bespreken hoe deze ransomware werkt, recente voorbeelden van aanvallen (waaronder een aanval op een groot ziekenhuis in de VS waarbij gegevens van meer dan 464.000 patiënten zijn gestolen), en, nog belangrijker, wat je kunt doen om je te beschermen. Want één ding is zeker: je wilt niet wakker liggen om drie uur ‘s nachts omdat je IT-systeem platligt door een ransomware-aanval.

 

Wat is 3AM Ransomware?

3AM Ransomware is een nieuwe ransomwarevariant die sinds 2023 opduikt in cyberaanvallen. Waar de meeste ransomware zich allang bewezen heeft in het wereldje van cybercriminelen, is 3AM nog relatief onbekend. Toch is het zeker geen lichtgewicht. Deze ransomware is geschreven in Rust, een programmeertaal die bekendstaat om zijn efficiëntie en veiligheid. Maar laten we eerlijk zijn: de hackers achter 3AM hebben die veiligheid duidelijk tegen ons gebruikt.

Wat maakt 3AM zo anders? Ten eerste: de naam. Die verwijst naar de bestandsextensie die het achterlaat, “.threeamtime”. Voeg daar nog een losgeldbericht aan toe met vage mystieke verwijzingen naar drie uur ’s nachts, en je hebt een ransomware die zich qua marketing weet te onderscheiden van de rest. Maar achter dat mysterie schuilt een serieuze dreiging. Voordat 3AM bestanden versleutelt, probeert het eerst allerlei essentiële systeemservices uit te schakelen en vervolgens back-upkopieën te wissen, zodat herstellen zo goed als onmogelijk wordt zonder te betalen.

3AM wordt vaak gebruikt als ‘back-up plan’ door criminelen. Als hun favoriete ransomware, zoals LockBit, niet werkt of wordt geblokkeerd, schakelen ze over naar 3AM. Dit maakt 3AM een soort “plan B” voor hackers — en juist daardoor zien we deze ransomware steeds vaker opduiken.

Waarom moet je hier wakker van liggen? 3AM is inmiddels betrokken geweest bij verschillende aanvallen, waaronder een serieuze breach bij Kootenai Health in de VS, waarbij gevoelige gegevens van meer dan 464.000 patiënten zijn gestolen en gepubliceerd op het dark web. Dit laat zien dat 3AM ransomware niet zomaar een nieuwe dreiging is, maar een serieuze kandidaat in de wereld van cyberaanvallen.

Kortom, 3AM ransomware combineert mystiek met meedogenloosheid — en dat is precies wat het zo gevaarlijk maakt.

Recente ransomware aanvallen, ook op de hoek van straat

In Nederland zien we dat ransomware-aanvallen al aan de orde van de dag zijn. Hoewel 3AM ransomware hier nog niet expliciet is gesignaleerd, zijn andere ransomware-varianten wel al ingezet tegen verschillende organisaties en instellingen. Het is slechts een kwestie van tijd voordat ook 3AM hier opduikt. Enkele recente voorbeelden tonen aan hoe kwetsbaar organisaties zijn:

1. Ransomware-aanval bij Nederlandse Koeienboerderij

Een bizarre aanval waarbij ransomware de technologie van een melkveehouderij in Nederland lamlegde, leidde zelfs tot het verlies van een koe. Deze aanval onderstreept hoe ver ransomwarecriminelen bereid zijn te gaan en welke ongekende schade dit soort aanvallen kan veroorzaken, zelfs in onverwachte sectoren [Computable].

2. Gevangenneming van verdachte in grootschalige Ransomwarezaak

De Nederlandse politie heeft recentelijk een verdachte opgepakt die betrokken zou zijn bij meerdere ransomware-aanvallen op Nederlandse bedrijven en organisaties. Dit laat zien dat de dreiging van ransomware-aanvallen, ook in Nederland, onverminderd doorgaat [Politie].

3. Criminelen richtten vorig jaar 147 Ransomware-aanvallen op Nederland

Uit cijfers van Veilig Internetten blijkt dat cybercriminelen vorig jaar alleen al 147 keer ransomware hebben ingezet tegen Nederlandse organisaties. Dit laat zien dat de dreiging reëel is en zich snel ontwikkelt, waardoor het risico op nieuwe en meer geavanceerde ransomware zoals 3AM toeneemt [Veilig Internetten].

Deze incidenten maken duidelijk dat de dreiging van ransomware-aanvallen dichterbij is dan ooit. Het is essentieel om voorbereid te zijn op nieuwe varianten zoals 3AM, die mogelijk binnenkort in Nederland zullen opduiken.

Recente voorbeelden van 3AM-aanvallen

3AM ransomware heeft over hele wereld de afgelopen maanden verschillende organisaties getroffen, waarbij het vaak wordt gebruikt als een back-up optie door cybercriminelen wanneer hun primaire aanvalsmethoden falen. Hier zijn drie recente voorbeelden die laten zien hoe deze dreiging zich wereldwijd verspreidt:

1. Kootenai Health (VS) – Maart 2024

In maart 2024 werd Kootenai Health, een groot ziekenhuis in Idaho, het slachtoffer van een 3AM ransomware-aanval. De hackers wisten toegang te krijgen tot hun systemen en bleven daar tien dagen onopgemerkt rondhangen. Ze stalen een grote hoeveelheid gevoelige patiëntinformatie, waaronder namen, geboortedata, sociale zekerheidsnummers en medische dossiers. Uiteindelijk lekten ze een archief van 22GB aan gegevens op het dark web nadat er geen losgeld werd betaald. Dit incident benadrukt de ernst van 3AM ransomware en hoe snel gevoelige gegevens openbaar kunnen worden gemaakt als er niet snel wordt gehandeld .

2. Bouwbedrijf (Onbekende Locatie) – September 2023

Een andere aanval werd ontdekt door Symantec’s Threat Hunter Team, waarbij een bouwbedrijf het doelwit was. De aanvallers probeerden eerst LockBit ransomware te installeren, maar toen dit niet lukte, schakelden ze over naar 3AM ransomware. De aanval leidde tot gedeeltelijk succes; op één van de drie geïnfecteerde machines wist de ransomware door te dringen. Dit incident toont aan hoe 3AM fungeert als een noodplan voor cybercriminelen wanneer andere aanvalsmethoden falen .

Niet nader genoemd Europees bedrijf – Eind 2023

Een derde geval betreft een niet nader genoemd Europees bedrijf dat werd aangevallen door cybercriminelen die 3AM ransomware gebruikten als back-up voor een mislukte LockBit-aanval. In dit geval maakten de aanvallers gebruik van geavanceerde technieken zoals Cobalt Strike voor privilege escalation en gebruikten ze tools als “Wput” om gestolen gegevens naar hun FTP-server te uploaden. Hoewel de ransomware slechts beperkt succes had, laat het zien dat aanvallers steeds vaker een “plan B” klaar hebben als hun primaire aanval mislukt .

Deze voorbeelden illustreren niet alleen hoe 3AM ransomware werkt, maar ook hoe het vaak als een ‘fallback’ wordt gebruikt wanneer andere methoden mislukken. Het is belangrijk dat je je als organisatie bewust bent van deze dreiging en de nodige voorzorgsmaatregelen nemen om hun gegevens te beschermen tegen dergelijke aanvallen.

Hoe werkt 3AM Ransomware?

3AM ransomware is ontworpen om zo snel mogelijk maximale schade aan te richten. De ransomware begint meestal met het beëindigen van verschillende systeemservices, waaronder back-up- en beveiligingsservices. Door deze services uit te schakelen, zorgt 3AM ervoor dat herstelopties, zoals Volume Shadow Copies — back-ups die door Windows worden gemaakt — worden verwijderd. Dit maakt het moeilijker voor organisaties om hun gegevens terug te krijgen zonder het gevraagde losgeld te betalen.

Na het uitschakelen van kritieke services en het verwijderen van back-ups, begint de ransomware met het stelen van gevoelige data van het netwerk. Deze gegevens kunnen variëren van persoonlijke informatie, financiële documenten tot e-mails en zakelijke documenten. De gestolen data wordt vaak gebruikt voor verdere verkoop op het dark web of als extra drukmiddel om de slachtoffers te dwingen tot betaling .

Gebruik van bekende tools zoals Cobalt Strike

3AM ransomware maakt gebruik van bekende tools zoals Cobalt Strike, een populair hulpmiddel voor pen-testers dat vaak door cybercriminelen wordt gebruikt voor privilege escalation (het verkrijgen van hogere rechten binnen een netwerk) en voor laterale bewegingen (het verplaatsen van de ransomware binnen het netwerk). Na toegang te hebben verkregen tot een netwerk, voeren aanvallers vaak een reeks standaardcommando’s uit, zoals gpresult, whoami, netstat, en quser, om te onderzoeken welke gebruikersrechten aanwezig zijn en hoe ze zich verder kunnen verplaatsen binnen het netwerk .

De aanvallers kunnen ook tools zoals Wput gebruiken om gestolen bestanden naar een externe server te uploaden. Daarnaast wordt Remote Desktop Protocol (RDP) vaak gebruikt om de ransomware naar andere machines te verspreiden. Door deze combinatie van tools en technieken kan 3AM zich efficiënt door een netwerk bewegen en een breed scala aan gegevens exfiltreren voordat de encryptie van bestanden plaatsvindt.

Uitvoering van de aanval

De uitvoering van een 3AM ransomware-aanval begint meestal met een initiële toegangsmethode, zoals phishing-e-mails of misbruik van kwetsbaarheden in software. Zodra de aanvallers toegang hebben verkregen, gebruiken ze tools als Cobalt Strike om hun aanwezigheid te vestigen en verder privileges te escaleren. Ze creëren mogelijk nieuwe gebruikersaccounts met beheerdersrechten om hun aanwezigheid te verhullen en om de beveiligingssoftware te omzeilen.

Na het verkrijgen van controle over kritieke systemen, beginnen de aanvallers de ransomware te verspreiden. Dit proces omvat het stoppen van beveiligings- en back-upservices en het verwijderen van Volume Shadow Copies, zodat slachtoffers hun gegevens niet eenvoudig kunnen herstellen zonder te betalen. Vervolgens wordt de ransomware ingezet om bestanden op het netwerk te versleutelen, met de karakteristieke .threeamtime-bestandsextensie.

De aanval eindigt met een losgeldbericht dat vaak mystieke referenties bevat naar 3 uur ’s nachts en de slachtoffers oproept om te onderhandelen via een Tor-browserlink. De aanvallers dreigen ermee om gestolen gegevens openbaar te maken of te verkopen als er geen losgeld wordt betaald  .

Met deze werkwijze is 3AM ransomware een veelzijdige en gevaarlijke dreiging die bedrijven serieus moeten nemen, vooral gezien het feit dat het vaak als back-upstrategie wordt gebruikt wanneer andere ransomware-methoden falen.

Hoe je je organisatie kunt beschermen

Om je organisatie te beschermen tegen 3AM ransomware — en andere vormen van ransomware — is een proactieve aanpak essentieel. Met de juiste combinatie van technische maatregelen en bewustwording binnen je team kun je de kans op een succesvolle aanval aanzienlijk verkleinen. Hier zijn enkele belangrijke stappen die je kunt nemen:

Tips om 3AM ransomware te voorkomen

1. Consequent immutable back-ups maken én restore tests uitvoeren

Het maken van regelmatige back-ups van je belangrijke data is cruciaal. Zorg ervoor dat minstens één kopie van deze back-ups offline wordt bewaard, buiten het bereik van het netwerk, ook wel bekend als de 3-2-1 methode. Dit betekent dat zelfs als je netwerk wordt geïnfecteerd door ransomware, je nog steeds toegang hebt tot een schone kopie van je data die je kunt herstellen zonder losgeld te betalen. Test je back-up proces regelmatig om te garanderen dat gegevens volledig en snel hersteld kunnen worden.

2. Gebruik van Multi-Factor Authenticatie (MFA)

MFA biedt een extra beveiligingslaag door gebruikers te verplichten meerdere vormen van verificatie te verstrekken bij het inloggen, zoals een wachtwoord én een code via een mobiele app. Dit maakt het moeilijker voor aanvallers om toegang te krijgen, zelfs als ze wachtwoorden hebben verkregen. Implementeer MFA op alle kritieke systemen, waaronder e-mail, VPN, en toegang tot gevoelige gegevens.

3. Medewerkers trainen in security awareness

Het trainen van je medewerkers om verdachte e-mails en phishingpogingen te herkennen is essentieel, omdat de meeste ransomware-aanvallen beginnen met een menselijke fout. Regelmatige trainingen en simulaties helpen om het bewustzijn te verhogen en maken medewerkers beter in staat om potentiële bedreigingen te herkennen en vermijden.

4. Patchen, patchen en nog eens patchen

Cybercriminelen maken vaak gebruik van bekende kwetsbaarheden in software en systemen. Zorg ervoor dat al je software, inclusief besturingssystemen en applicaties, regelmatig wordt bijgewerkt en dat beveiligingspatches direct worden geïnstalleerd. Niet wachten tot de vaste update dag, maar gelijk doorvoeren om kwetsbaarheden te dichten. Dit verkleint de kans dat ransomware zoals 3AM misbruik maakt van kwetsbaarheden.

5. Complexe wachtwoorden gebruiken en regelmatig aanpassen

Maak iemand verantwoordelijk in je organisatie voor het beveiligingsbeleid. Zorg dat hij/zij ook tijd heeft om blijvend aandacht hieraan te geven

Wat te doen als je toch slachtoffer wordt van 3AM ransomware?

1. Neem contact op met een cybersecurity-expert, zoals Invision ICT

Bij een vermoeden dat je bent getroffen door 3AM ransomware, is het belangrijk om direct contact op te nemen met een cybersecurity-expert. Zij kunnen helpen om de aanval te isoleren, de infectie te verwijderen en verdere schade te beperken. Invision ICT kan snel reageren op ransomware-incidenten door een gespecialiseerd team in te schakelen om de situatie te beheersen en de impact te minimaliseren.

2. Overweeg een forensisch onderzoek

In Nederland is een forensisch onderzoek vaak niet alleen een verstandige stap, maar ook noodzakelijk om te voldoen aan de meldplicht voor datalekken volgens de Algemene Verordening Gegevensbescherming (AVG). Als er een vermoeden is van een datalek, moet dit binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens. Een forensisch onderzoek helpt om vast te stellen of er een datalek is opgetreden, welke gegevens zijn aangetast, en welke stappen nodig zijn om verdere schade te voorkomen. Invision ICT kan ondersteuning bieden bij het uitvoeren van dit onderzoek en ervoor zorgen dat je aan alle wettelijke vereisten voldoet, terwijl je tegelijkertijd de beveiligingsmaatregelen van je organisatie versterkt.

Door deze stappen te volgen en een robuuste beveiligingsstrategie te implementeren, kun je de risico’s van een ransomware-aanval aanzienlijk verminderen en de impact beperken als je toch wordt getroffen. Cybersecurity is een continu proces, en met een partner zoals Invision ICT sta je sterker in het beschermen van je digitale omgeving.

Hoe Invision ICT jouw organisatie kan helpen

Bij Invision ICT begrijpen we dat elke organisatie uniek is, en dat een effectieve verdediging tegen ransomware-aanvallen meer vereist dan alleen technologie. Daarom bieden we een breed scala aan diensten aan die organisaties helpen zich voor te bereiden op en te beschermen tegen ransomware zoals 3AM.

1. Proactieve monitoring

Met onze proactieve monitoringdiensten houden we continu toezicht op je IT-omgeving. Onze cybersecurity experts, die gecertificeerd zijn als ethical hackers, gebruiken geavanceerde tools om verdachte activiteiten snel te detecteren en te stoppen voordat ze schade kunnen aanrichten. Door potentiële bedreigingen vroegtijdig op te sporen, kunnen we je netwerk beschermen tegen bekende én onbekende aanvallen.

2. Incident response

Mocht je toch slachtoffer worden van een ransomware-aanval, dan staat ons Incident Response Team klaar om onmiddellijk in te grijpen. Onze experts hebben ruime ervaring in het beperken van schade, het herstellen van systemen, en het uitvoeren van forensisch onderzoek om vast te stellen hoe de aanval heeft plaatsgevonden en welke gegevens mogelijk zijn aangetast. Met onze ISO 27001-certificering garanderen we dat we werken volgens de hoogste normen voor informatiebeveiliging, zodat je erop kunt vertrouwen dat je in goede handen bent.

3. Security-awareness-training

De beste verdediging tegen ransomware begint met je team. Wij bieden uitgebreide cybersecurity-awareness-trainingen aan, speciaal afgestemd op de dreigingen waarmee je organisatie te maken kan krijgen. We leren je medewerkers om verdachte e-mails en phishingpogingen te herkennen, veilig om te gaan met gevoelige informatie, en snel en correct te reageren op potentiële cyberaanvallen. Zo maak je van je medewerkers een eerste verdedigingslinie tegen cyberdreigingen.

 4. Beveiligingsaudits en advies

Wil je weten hoe veilig jouw IT-omgeving daadwerkelijk is? Invision ICT biedt uitgebreide beveiligingsaudits aan om je huidige situatie te beoordelen en mogelijke kwetsbaarheden te identificeren. We geven gedetailleerde adviezen om je beveiliging te versterken en je organisatie beter te beschermen tegen ransomware-aanvallen en andere bedreigingen.

Jouw ICT-omgeving beschermen tegen ransomware

Wil je meer weten over hoe je je organisatie kunt beschermen tegen ransomware of ben je benieuwd hoe je jouw IT-omgeving kunt verbeteren? Neem dan contact op met Invision ICT voor een vrijblijvend adviesgesprek. Onze gecertificeerde cybersecurity-experts staan klaar om je te helpen bij het versterken van je digitale verdediging. Bescherm je organisatie vandaag nog — en voorkom dat je de volgende bent die wakker ligt om drie uur ‘s nachts door een ransomware-aanval.

Neem contact met ons op en ontdek wat we voor je kunnen doen!