El ransomware Fog surgi贸 en abril de 2024 con operaciones dirigidas a sistemas Windows y Linux. Fog es una operaci贸n de extorsi贸n de m煤ltiples frentes que aprovecha un Dedicated Leak Sites (DLS). basado en TOR para enumerar a las v铆ctimas y alojar datos de quienes se niegan a cumplir con sus demandas de rescate.
Nos referimos a Fog como una variante de ransomware en lugar de un grupo para distinguir entre las entidades responsables de crear el software de cifrado y las que realizan los ataques pr谩cticos contra las v铆ctimas. Esta es una distinci贸n fundamental porque los grupos de ransomware a veces proyectan una imagen de ser un grupo singular cuando, de hecho, est谩n compuestos por grupos afiliados independientes. En este momento, se desconoce la estructura organizativa del grupo o grupos responsables de llevar a cabo ataques que implementan el ransomware Fog.
Los ataques del ransomware Fog se han centrado principalmente en los sectores de la educaci贸n, el ocio, los viajes y la fabricaci贸n y, en Argentina a sectores farmac茅utico y m茅dico. Los ataques se dirig铆an principalmente a entidades de los Estados Unidos, aunque no hay duda que tambi茅n han afectado a entidades fuera de los Estados Unidos y en Am茅rica Latina.
驴C贸mo funciona el ransomware Fog?
Los actores de amenazas Fog dependen en gran medida de la explotaci贸n de aplicaciones conocidas y vulnerables. Los operadores generalmente logran el acceso inicial mediante la compra de credenciales comprometidas de un Agente de Acceso Inicial (IAB). Los operadores aprovechar谩n cuentas comprometidas y/o compradas en el mercado negro para establecer un punto de apoyo en el entorno y luego se mueven lateralmente de manera met贸dica.
Existen variantes del ransomware Fog para plataformas Windows y Linux. Las variantes con sabor a Linux incluyen objetivos espec铆ficos ajustados para entornos virtuales (por ejemplo, archivos VMSD y VMDK). Las cargas 煤tiles Fog tambi茅n intentar谩n terminar varios procesos asociados con estos entornos virtualizados.
Al realizar el cifrado, se a帽aden las extensiones ".fog", ".Fog" o ".FLOCKED" a los archivos afectados.
Las variantes de Fog para Windows intentan eliminar las instant谩neas de volumen a trav茅s de vssadmin.exe. Adem谩s, las versiones de Fog para Windows incluyen una secci贸n de configuraci贸n basada en JSON. Los operadores pueden personalizar la extensi贸n adjunta a los archivos cifrados junto con la configuraci贸n del nombre de la nota de rescate, la terminaci贸n del proceso o servicio y la clave p煤blica RSA que se incorporar谩 para el uso del cifrado.
Las notas de rescate de Fog se escriben en cada ubicaci贸n que contiene archivos cifrados como "readme.txt". La nota indica a las v铆ctimas que se comuniquen con los atacantes a trav茅s de su portal de v铆ctimas basado en TOR.
Acceso a las redes comprometidas y robo de datos
La evidencia forense indica que los actores de amenazas pudieron acceder a los entornos de las v铆ctimas aprovechando las credenciales de VPN comprometidas. En particular, el acceso remoto se produjo a trav茅s de dos proveedores de puerta de enlace de VPN independientes.
En uno de los casos, se observ贸 actividad de pass-the-hash contra cuentas de administrador que luego se usaron para establecer conexiones RDP a servidores Windows que ejecutaban Hyper-V y Veeam. En otro caso, se observ贸 evidencia de robo de credenciales, que se pens贸 que facilitaba el movimiento lateral en todo el entorno. En todos los casos, PsExec se implement贸 en varios hosts y se utiliz贸 RDP/SMB para acceder a los hosts objetivo.
En los servidores Windows con los que interactuaron los actores de amenazas,
los actores de amenazas deshabilitaron Windows Defender. Se observ贸 que los
actores de amenazas cifraban archivos VMDK en el almacenamiento de m谩quinas
virtuales y eliminaban copias de seguridad del almacenamiento de objetos en
Veeam.
En muchos casos de ransomware Fog investigados, se observ贸 que los dispositivos establec铆an conexiones regulares con la herramienta de acceso remoto AnyDesk. Esto se ejemplific贸 mediante una comunicaci贸n constante con el punto final "download[.]anydesk[.]com". En otros casos, se identific贸 el uso de otra herramienta de administraci贸n remota, concretamente SplashTop, en los servidores de los clientes.
Reconocimiento interno
En las infecciones se observa que los dispositivos afectados realizan una cantidad inusual de conexiones internas fallidas a otras ubicaciones internas a trav茅s de puertos como 80 (HTTP), 3389 (RDP), 139 (NetBIOS) y 445 (SMB). Este patr贸n de actividad indicaba claramente un comportamiento de escaneo de reconocimiento dentro de las redes afectadas. Una investigaci贸n m谩s a fondo de estas conexiones HTTP revel贸 casos com煤nmente asociados con el uso de la herramienta Nmap.
Al mismo tiempo, se observ贸 que algunos dispositivos realizaban acciones SMB dirigidas al recurso compartido IPC$. Dicha actividad se alinea con las t谩cticas de enumeraci贸n SMB t铆picas, mediante las cuales los atacantes consultan la lista de servicios que se ejecutan en un host remoto utilizando una sesi贸n NULL, un m茅todo que se emplea a menudo para recopilar informaci贸n sobre recursos de red y vulnerabilidades.
Movimiento lateral
Mientras los atacantes intentan moverse lateralmente a trav茅s de las redes afectadas, se observa una actividad RDP sospechosa entre los dispositivos infectados. Se establecieron m煤ltiples conexiones RDP con nuevos clientes, utilizando los dispositivos como pivotes para propagarse m谩s profundamente en las redes. Despu茅s de esto, los dispositivos en m煤ltiples redes exhibieron un alto volumen de actividad de lectura y escritura SMB, con nombres de archivos de unidades compartidas internas con la extensi贸n ".flocked" (o similar), una clara se帽al de cifrado de ransomware. Casi al mismo tiempo, se detectaron m煤ltiples archivos "readme.txt" distribuidos en las redes afectadas, que luego se identificaron como notas de rescate.
Exfiltraci贸n de datos
En uno de los casos del ransomware Fog, se observ贸 una posible exfiltraci贸n de datos que implicaba la transferencia de archivos internos a un punto final inusual asociado con el servicio de almacenamiento de archivos MEGA.
Este intento de exfiltraci贸n sugiere el uso de t谩cticas de doble extorsi贸n, donde los actores de amenazas no solo cifran los datos de la v铆ctima, sino que tambi茅n los exfiltran para amenazar con exponerlos p煤blicamente a menos que se pague un rescate. Esto a menudo aumenta la presi贸n sobre las organizaciones, ya que enfrentan el riesgo de p茅rdida de datos y da帽o a la reputaci贸n causado por la divulgaci贸n de informaci贸n confidencial.
Fuente: Artic Wolf | Dark Trace