ThreeAM ransomware
A francia Intrinsec kiberbiztonsági vállalat kutatói szerint a ThreeAM valószínűleg a Royal zsarolóvírus csoporthoz kapcsolódik – amely most Blacksuit néven újjáalakult, és a Conti-szindikátuson belül a Team 2 korábbi tagjaiból álló banda.
A 3AM (ThreeAM) zsarolóvírus és a Conti-szindikátus közötti kapcsolat egyre erősebbé vált, ahogy az Intrinsec egyre jobban vizsgálta a csoport taktikáját, a támadásokhoz használt infrastruktúrát és a kommunikációs csatornákat.
Az Intrinsec azt állítja, hogy a fenyegető szereplő elemzése jelentős átfedést tárt fel a 3AM és a Conti-szindikátus közötti kommunikációs csatornák, infrastruktúra, valamint taktikák, technikák és eljárások (TTP-k) tekintetében. Az Intrinsec megfigyelt egy SOCKS4 proxy-t a TCP 8000-es porton, amelyet jellemzően alagutas kommunikációra használnak. A kutatók megjegyzik, hogy az ehhez a Socks4 szolgáltatáshoz kapcsolódó aláírás 2022 közepe óta két olyan IP-címen jelent meg, amelyek ilyen proxy-jegyet mutattak.