The Fog, ransomware varijanta koja pripada porodici STOP/DJVU koja je ranije bila ciljana na obrazovne i rekreativne SEKTORE, usmjerila je svoju pažnju na profitabilne ciljeve u finansijskoj industriji.
Početkom augusta 2024., hakeri su koristili narušene VPN kredencijale da pokrenu ransomware napad na finansijsku instituciju srednje veličine.
Kriminalci su koristili Fog ransomware (također poznat kao “Izgubljeni u magli”) za ciljanje osjetljivih podataka na krajnjim tačkama koje koriste Windows i
Linux operativne sisteme.
Ipak, Adlumin-ova najsavremenija tehnologija—koja koristi datoteke za mamce kao senzore za identifikaciju aktivnosti ransomware-a unutar mreže—uspjela je spriječiti napad.
Pregled Fog Ransomware-a
2021. godine, Fog ransomware je prvi put otkriven. Uglavnom cilja na industrije poput obrazovanja i rekreacije i probija odbranu mreže koristeći prednosti ranjivosti u narušenim VPN kredencijalima.
Jednom u mreži, Fog uvelike povećava svoj uticaj koristeći sofisticirane metode, kao što su napadi prosljeđivanja heširanja, kako bi eskalirali privilegije na administrativni nivo.
Nadalje, Fog nastavlja s nekoliko koraka usmjerenih na probijanje mrežne sigurnosti. One se sastoje od isključivanja sigurnosnih funkcija, šifrovanja važnih datoteka, posebno diskova virtuelnih mašina (VMDK), i brisanja rezervnih podataka, ostavljajući žrtvama malo mogućnosti osim da razmotre plaćanje otkupnine.
Tipično identificirane po ekstenzijama kao što su “.FOG” ili “.FLOCKED”, šifrovane datoteke dolaze s porukom otkupnine koja upućuje žrtve na platformu za pregovaranje Tor mreže.
Napadači su koristili niz pingova poslatih na različite destinacije kako bi započeli proces otkrivanja mreže. Oni koriste alat ‘Advanced_Port_Scanner_2.5.3869(1).exe’ za izviđanje mreže, skeniranje hostova na mreži sa povišenim privilegijama sa narušenih servisnih naloga.
Adlumin tim je utvrdio da je napad došao sa ruske IP adrese i pratio hakiranje do nezaštićenog uređaja.
Koristeći informacije o odnosima povjerenja u domeni, napadači su bili u mogućnosti da putuju bočno unutar mreže koristeći dva narušena servisna računa.
Sljedeća faza uključivala je pravljenje sigurnosne kopije podataka za prijavu spremljenih na krajnjim tačkama za brojne korisnike, uključujući šifrovane kredencijale Google Chromea, korištenjem Microsoftovog uslužnog programa komandne linije “esentutl.exe”.
Akter pretnje sinhronizuje i prenosi podatke sa zaraženih krajnjih tačaka pomoću ‘Rclone’, efikasnog alata komandne linije otvorenog koda.
Alat koji je korišten za širenje ransomware-a identifikovana je kao “locker.exe”, što ukazuje da je igrao ulogu u “zaključavanju” ili šifrovanju podataka.
Poruka o otkupnini je zatim objavljena u datoteci pod nazivom “readme.txt” na svakoj ugroženoj krajnjoj tački. Kako bi spriječili žrtve da vrate svoje datoteke iz rezervnih kopija, napadači su također izbrisali sjene kopije sistema koristeći PowerShell i WMIC komande.
Tim Arctic Wolf je u analizi objavljenoj početkom juna naveo da se čini da su hakeri više fokusirani na brzu isplatu nego na izvođenje zamršenijeg napada koji uključuje eksfiltraciju podataka i dobro poznato mjesto curenja.
Funkcija prevencije ransomwarea Adlumina automatski isključuje napadače, izoluje narušene uređaje i zaustavlja krađu podataka.
Preporučuju se višefaktorska autentikacija (MFA), česta ažuriranja VPN softvera, praćenje VPN pristupa, izolacija ugroženih krajnjih tačaka, korištenje sveobuhvatne sigurnosne platforme, pravljenje rezervnih kopija ključnih informacija, implementacija principa najmanje privilegija i kreiranje planova odgovora na incidente.
Izvor: CyberSecurityNews
