Ransomware : l’évasif ThreeAM commence à divulguer les données de ses victimes

Le 15 avril dernier, la revendication d’une cyberattaque contre la Compagnie de Phalsbourg faisait son apparition sur le site vitrine d’une enseigne de ransomware peu connue : ThreeAM (3am). Interrogée, la victime ne réfutait pas la survenue de l’incident mais se refusait toutefois à le commenter. 

Une chance pour l’entreprise, ainsi que les autres victimes de ThreeAM, cette enseigne ne diffusait pas, jusqu’à récemment, les données volées lors des cyberattaques : pour chaque victime revendiquée, la vitrine prétendait proposer une interface permettant de naviguer parmi les fichiers dérobés. Mais dans les faits, elle ne fonctionnait pas. 

Là, ThreeAM a changé son fusil d´épaule à l’occasion d’une mise à jour de sa vitrine. Outre l’ajout d’un logo à l’image d’un quartier de lune, l’enseigne s’est mise à proposer des données présentées comme appartenant à ses victimes, au téléchargement sous forme d’archives RAR et ZIP. 

A l’heure où ces lignes sont publiées, cela ne vaut que pour une poignée de victimes revendiquées sous la bannière de ThreeAM, dont MTM Robotics, filiale d’Airbus depuis fin 2019, ou encore la Compagnie de Phalsbourg. Pour celle-ci, l’enseigne dit n’avoir encore diffusé que 10 % des données, mais il y aurait déjà là plus de 490 Go de données compressées. Contactée, la Compagnie de la Phalsbourg n’a pas encore donné suite à nos sollicitations. 

On ne connaît à ce jour que 30 revendiquées sur la vitrine de ThreeAM. Découvert mi-septembre 2023, son site vitrine dont l’interface rappelle celle de Conti, a initialement accueilli des revendications renvoyant au mois d’août 2023, aux côtés d’autres plus récentes.

Selon Symantec, le ransomware ThreeAM, écrit en Rust, n’est pour l’heure pas très utilisé. Mais un affidé LockBit semble également l’avoir adopté : les équipes de l’éditeur ont observé l’emploi de ThreeAM après une première tentative avortée de déclenchement de LockBit. 

Les équipes de renseignement sur les menaces d’Intrinsec se sont penchées dessus, réalisant d’intéressantes trouvailles : « nous avons réussi à désanonymiser le serveur du site web utilisé par le groupe d’intrusion et avons constaté des recoupements avec l’écosystème russophone des ransomwares de haut niveau. Nous estimons qu’il est probable que le ransomware ThreeAM travaille sous l’aile du syndicat Conti réorganisé (l’ancienne TEAM 2 de Conti, aujourd’hui connue sous le nom de Royal). Comme le montre la littérature, une relation avec les membres de Zeon (ancienne TEAM1) est possible ».