Threat Intelligence

3AM

3AM taucht dort auf, wo etablierte Ransomware blockiert wird – als Ausweich-Werkzeug erfahrener Angreifer.

Kurz erklärt

3AM (ThreeAM) ist eine 2023 erstmals beobachtete, in Rust geschriebene Ransomware. Sie wurde unter anderem eingesetzt, als der Versuch scheiterte, LockBit auszurollen – ein Hinweis auf erfahrene Affiliates mit mehreren Werkzeugen. Vorgehen: Datendiebstahl, Deaktivierung von Schutzsoftware, Verschlüsselung.

Typ

Ransomware (Rust-basiert)

Status

Aktiv – seit 2023, als Ausweich-Payload beobachtet (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Mittelstand und größere Unternehmen branchenübergreifend

Taktiken

Datendiebstahl, Abschaltung von Sicherheitstools, Verschlüsselung, Double Extortion

Risiko-Einschätzung

Mittel – Indikator für erfahrene, gut ausgestattete Angreifer

Was Unternehmen jetzt prüfen sollten

  • Manipulationsschutz (Tamper Protection) für EDR/AV aktivieren
  • Alarme, wenn Sicherheitsdienste gestoppt werden
  • MFA und Least Privilege
  • Offline-Backups

Wie Argos unterstützt

24/7-Erkennung im Cyber Defense Center meldet das Abschalten von Schutzsoftware sofort; Managed XDR und IR begrenzen den Schaden.