jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » 3am

3am

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Desarrollo en Rust: La herramienta se desarrolla utilizando el lenguaje de programación Rust, optimizado para sistemas 64 bits.
  • Extensión de Archivos: Los archivos encriptados reciben la extensión .threeamtime.
  • Marcador Específico: Se añade un marcador hexadecimal 0x666 a los archivos afectados.
  • Borrado de Copias de Seguridad: El grupo elimina copias de seguridad volumétricas para dificultar la recuperación de datos.
  • Estrategia de doble extorsión: Combina encriptación con robo de datos sensibles y amenazas públicas para incrementar el valor monetario del secuestro.

3am

3AM

Perfil del Actor

3AM, también conocido como ThreeAM, es un grupo de amenaza reciente que se ha consolidado en 2023 como una familia de ransomware. Este actor opera bajo el nombre de ThreeAM y se destaca por su uso de técnicas de doble extorsión, combinando la encriptación de archivos con la robótica de datos sensibles.

El ciberataque se desarrolla principalmente mediante una herramienta escrita en Rust para sistemas 64 bits. La familia de amenaza utiliza un enfoque que incluye la modificación de extensión de archivos y la adición de marcadores específicos durante el proceso de encriptación.

Origen y Motivacion

3AM es un actor de amenaza emergente que se originó en 2023. Su motivación principal parece estar relacionada con la obtención de beneficios financieros mediante la extorsión de organizaciones vulnerables. El grupo utiliza estrategias de doble extorsión, lo que implica no solo encriptar archivos, sino también robar datos críticos para amenazar a las víctimas.

Tecnicas y Tacticas (TTPs)

Las técnicas clave de 3AM incluyen:

  • Desarrollo en Rust: La herramienta se desarrolla utilizando el lenguaje de programación Rust, optimizado para sistemas 64 bits.
  • Extensión de Archivos: Los archivos encriptados reciben la extensión .threeamtime.
  • Marcador Específico: Se añade un marcador hexadecimal 0x666 a los archivos afectados.
  • Borrado de Copias de Seguridad: El grupo elimina copias de seguridad volumétricas para dificultar la recuperación de datos.
  • Estrategia de doble extorsión: Combina encriptación con robo de datos sensibles y amenazas públicas para incrementar el valor monetario del secuestro.

Campanas Conocidas

A pesar de su rápido surgimiento, las campañas específicas de 3AM aún están en fase de investigación. Se reporta que el grupo se ha utilizado como alternativa cuando los ataques de LockBit fallan. Sin embargo, no hay evidencia publicada sobre operaciones específicas detalladas.

Objetivos y Victimas

El objetivo principal de 3AM es obtener ganancias financieras mediante la extorsión de organizaciones que alberguen datos críticos. Las víctimas incluyen empresas, instituciones gubernamentales y entidades sin fines de lucro con acceso a información sensible.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Deteccion y Defensa

Para detectar actividades de 3AM, las organizaciones deben monitorear:

  • Cambios en extensiones de archivos: Buscar archivos con extensión .threeamtime.
  • Marcadores específicos: Verificar la presencia del marcador hexadecimal 0x666 en archivos afectados.
  • Borrado de copias de seguridad: Revisar sistemas para detectar la eliminación de copias de seguridad volumétricas.
  • Protección end-point: Implementar soluciones de seguridad que puedan identificar patrones de ransomware y bloquear actividades sospechosas.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable