Zaobserwowano, że grupa ransomware Fog zwiększa liczbę ataków i obiera sobie za cel nowe, bardziej dochodowe sektory w niekończącym się poszukiwaniu zapłaty. Według danych wywiadowczych opublikowanych przez osoby reagujące na incydenty w Adlumin.
W zeszłym miesiącu zespół reagowania na incydenty Adlumin pomógł anonimowej, średniej wielkości amerykańskiej firmie świadczącej usługi finansowe w próbie (na szczęście udaremnionej) ataku ransomware Fog, którego celem były jej dane na punktach końcowych z systemami Windows i Linux.
Incydent nie powiódł się dzięki technologii Adlumin, która zawiera pliki „wabiące”, służące do wykrywania aktywności ransomware w sieci przed wykonaniem. Zaatakowane maszyny zostały odizolowane, a atakujący zostali zablokowani w ciągu kilku minut.
Starszy dyrektor ds. wykrywania i reagowania w Adlumin, Will Ledesma, powiedział, że atak jest dość godny uwagi, ponieważ wymierzony w firmę świadczącą usługi finansowe, co stanowi odejście od tradycyjnego profilu ofiary stosowanego przez ekipę Fog.
„Grupa Fog Ransomware, która do tej pory atakowała wyłącznie organizacje z sektora edukacji i rozrywki, obecnie zajmuje się bardziej dochodowymi celami w sektorze usług finansowych” – napisał.
Wariant rodziny ransomware STOP/DJVU, który ma około trzy lata, Fog ma tendencję do rozpoczynania ataków przy użyciu naruszonych danych uwierzytelniających VPN, aby naruszyć zabezpieczenia sieci. Po wejściu do środowiska ofiary, używa technik, takich jak ataki pass-the-hash, aby podnieść swoje uprawnienia do poziomu administratora.
Gang wykonuje również szereg działań mających na celu wyeliminowanie cyberobrony, w tym wyłączanie zabezpieczeń, szyfrowanie krytycznych plików, takich jak dyski maszyn wirtualnych (VMDK) na wczesnym etapie i usuwanie kopii zapasowych w celu uniemożliwienia odzyskania. Zazwyczaj dodaje do zaszyfrowanych plików rozszerzenia .FOG lub .FLOCKED i, jak większość innych gangów, używa Tora do negocjacji z ofiarami.
Ledesma stwierdził, że na razie nie można bezpośrednio powiązać tej sprawy z innymi znanymi podmiotami stanowiącymi zagrożenie, co sugeruje, że Fog prawdopodobnie został stworzony przez nową i wysoko wykwalifikowaną grupę.
W przypadku incydentu, na który zareagowała firma Adlumin, zespołowi śledczemu udało się powiązać infiltrację z niezabezpieczonym systemem o adresach IP pochodzących z Moskwy, choć nie musi to koniecznie potwierdzać jego pochodzenia.
Inni badacze monitorujący Fog to m.in. zespół Arctic Wolf, który zaobserwował zadziwiająco krótki czas między początkowym włamaniem a szyfrowaniem, co odbiega od powszechnej praktyki w większości scenariuszy ataków ransomware.
W analizie opublikowanej na początku czerwcaZespół Arctic Wolf stwierdził, że „aktorzy zagrożeń wydają się być bardziej zainteresowani szybką wypłatą niż przeprowadzeniem bardziej złożonego ataku obejmującego eksfiltrację danych i głośną stronę wycieku”, choć należy zauważyć, że gang prowadzi witrynę przecieków.
Obserwacje Arctic Wolfa zdają się jednak pokrywać z teorią Adlumina, że załoga poluje teraz na cele dysponujące większą ilością gotówki – wcześniej specjalizując się w atakach na szkoły i uczelnie.
W związku z tym osoby odpowiedzialne za obronę w przedsiębiorstwach powinny zwracać uwagę na rosnące zagrożenie, jakie stwarza mgła, a w szczególności skupić się na utrzymywaniu bezpiecznej, zewnętrznej infrastruktury kopii zapasowych oprócz standardowych zasad obrony w głąb.
Pełny opis Ledesmy dla Adlumin, zawierający bardziej szczegółowe porady dotyczące wykrywania i usuwania zagrożeń, można znaleźć tutaj.