Uma nova operação de ransomware chamada 'Fog' foi lançada no início de maio de 2024, utilizando credenciais VPN comprometidas para violar as redes de organizações educacionais nos EUA.
O Fog foi descoberto pelo Artic Wolf Labs, o qual relatou que a operação de ransomware ainda não configurou um portal de extorsão e não foi observada roubando dados.
Entretanto, a gangue de ransomware rouba dados para ataques de dupla extorsão, usando as informações como alavanca para assustar as vítimas e fazê-las pagar.
Os operadores do Fog acessaram ambientes das vítimas usando credenciais VPN comprometidas de pelo menos dois diferentes fornecedores de gateway VPN.
"Em cada um dos casos investigados, evidências forenses indicaram que os atores de ameaças conseguiram acessar os ambientes das vítimas aproveitando-se de credenciais VPN comprometidas", explica o Artic Wolf Labs.
Notavelmente, o acesso remoto ocorreu através de dois fornecedores distintos de gateway VPN.
A última atividade de ameaça documentada em nossos casos ocorreu em 23 de maio de 2024.
Uma vez que ganham acesso à rede interna, os atacantes realizam ataques "pass-the-hash" em contas de administrador, as quais são usadas para estabelecer conexões RDP com servidores Windows executando Hyper-V.
Alternativamente, utiliza-se credential stuffing para se apossar de contas valiosas, seguido pelo deploy de PsExec em múltiplos hosts.
Nos servidores Windows, os operadores do Fog desabilitam o Windows Defender para evitar notificações que alertem a vítima antes da execução do encrypter.
Quando o ransomware é implementado, ele realiza chamadas à API do Windows para coletar informações sobre o sistema, como o número de processadores lógicos disponíveis para alocar threads para uma rotina de criptografia multi-thread.
Antes de iniciar a criptografia, o ransomware encerra uma lista de processos e serviços baseado em uma lista codificada em sua configuração.
O ransomware criptografa arquivos VMDK em armazenamento de Máquina Virtual (VM) e deleta backups de armazenamento de objeto no Veeam e cópias de sombra de volume do Windows para prevenir a restauração fácil.
Arquivos criptografados recebem a extensão '.FOG' ou '.FLOCKED', embora isso possa ser definido pelo bloco de configuração baseado em JSON para qualquer coisa que o operador deseje.
Finalmente, uma nota de resgate é criada e deixada nos diretórios impactados, fornecendo instruções às vítimas sobre como pagar por uma chave de descriptografia que os ajudará a recuperar seus arquivos.
A nota de resgate é nomeada readme.txt e contém um link para um site escuro no Tor usado para negociação.
Este site é uma interface de chat básica que permite à vítima do ransomware negociar uma demanda de resgate com os atores de ameaça e obter uma lista dos arquivos roubados.
O site de negociação no Tor é o mesmo para as extensões .FOG e .FLOCKED, com ataques em andamento usando qualquer uma das extensões.
O Arctic Wolf Labs diz que atualmente não está claro se Fog opera como um ransomware-as-a-service (RaaS) aberto que aceita afiliados ou se um pequeno círculo privado de cibercriminosos está por trás disso.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...