Το Fog, μια παραλλαγή ransomware που ανήκει στην οικογένεια STOP/DJVU που στο παρελθόν στόχευε σε εκπαιδευτικούς και ψυχαγωγικούς τομείς, έχει στρέψει την προσοχή του σε κερδοφόρους στόχους στον χρηματοοικονομικό κλάδο.
Δείτε επίσης: 2024: Σημαντική αύξηση των ενεργών ransomware συμμοριών
Στις αρχές Αυγούστου 2024, οι hackers χρησιμοποίησαν διαπιστευτήρια VPN για να εξαπολύσουν μια επίθεση ransomware εναντίον ενός μεσαίου μεγέθους χρηματοπιστωτικού ιδρύματος. Οι εγκληματίες χρησιμοποίησαν το ransomware Fog (γνωστό και ως “Lost in the Fog“) για να στοχεύσουν ευαίσθητα δεδομένα σε τελικά σημεία λειτουργικών συστημάτων Windows και Linux.
Ωστόσο, η τεχνολογία αιχμής της Adlumin – η οποία χρησιμοποιεί αρχεία δόλωμα ως αισθητήρες για τον εντοπισμό της δραστηριότητας ransomware εντός του δικτύου – ήταν σε θέση να αποτρέψει την επίθεση.
Το ransomware Fog εντοπίστηκε για πρώτη φορά το 2021. Στοχεύει κυρίως βιομηχανίες όπως η εκπαίδευση και η ψυχαγωγία και παραβιάζει τις άμυνες του δικτύου εκμεταλλευόμενο ευπάθειες σε παραβιασμένα διαπιστευτήρια VPN.
Δείτε ακόμα: Η συμμορία Lockbit αναλαμβάνει την επίθεση ransomware στο TDSB
Μόλις εισέλθει σε ένα δίκτυο, το Fog αυξάνει σημαντικά την επιρροή του χρησιμοποιώντας εξελιγμένες μεθόδους, όπως επιθέσεις pass-the-hash, για την κλιμάκωση των προνομίων.
Περαιτέρω, το ransomware Fog προχωρά στη λήψη πολλών μέτρων που στοχεύουν στη διακοπή της ασφάλειας του δικτύου. Αυτά συνίστανται στην απενεργοποίηση λειτουργιών ασφαλείας, στην κρυπτογράφηση σημαντικών αρχείων, ιδιαίτερα στους Δίσκους Εικονικής Μηχανής (VMDK) και στη διαγραφή αντιγράφων ασφαλείας, αφήνοντας στα θύματα ελάχιστες επιλογές εκτός από το να εξετάσουν το ενδεχόμενο να πληρώσουν τα λύτρα.
Τα κρυπτογραφημένα αρχεία, που συνήθως προσδιορίζονται από επεκτάσεις όπως “.FOG” ή “.FLOCKED“, συνοδεύονται από ένα μήνυμα λύτρων που οδηγεί τα θύματα σε μια πλατφόρμα διαπραγμάτευσης δικτύου Tor.
Η ομάδα της Adlumin διαπίστωσε ότι η επίθεση προήλθε από μια ρωσική διεύθυνση IP και εντόπισε το hack σε μια μη προστατευμένη συσκευή. Χρησιμοποιώντας πληροφορίες σχέσης εμπιστοσύνης τομέα, οι εισβολείς του ransomware Fog μπόρεσαν να κινηθούν πλευρικά μέσα στο δίκτυο χρησιμοποιώντας δύο παραβιασμένους λογαριασμούς υπηρεσιών.
Το επόμενο στάδιο περιλάμβανε τη δημιουργία αντιγράφων ασφαλείας των πληροφοριών σύνδεσης που είναι αποθηκευμένες σε τελικά σημεία για πολλούς χρήστες, συμπεριλαμβανομένων των κρυπτογραφημένων διαπιστευτηρίων του Google Chrome, χρησιμοποιώντας το βοηθητικό πρόγραμμα γραμμής εντολών της Microsoft “esentutl.exe“. Oι hackers συγχρονίζουν και μεταφέρουν δεδομένα από μολυσμένα τελικά σημεία χρησιμοποιώντας το «Rclone», ένα αποτελεσματικό εργαλείο γραμμής εντολών ανοιχτού κώδικα.
Το εργαλείο που χρησιμοποιήθηκε για τη διάδοση του ransomware αναγνωρίστηκε ως “locker.exe“, υποδεικνύοντας ότι έπαιξε ρόλο στο “κλείδωμα” ή στην κρυπτογράφηση των δεδομένων. Στη συνέχεια, το μήνυμα λύτρων δημοσιεύτηκε σε ένα αρχείο που ονομάζεται “readme.txt” σε κάθε παραβιασμένο τελικό σημείο. Για να αποτρέψουν τα θύματα από το να μπορούν να επαναφέρουν τα αρχεία τους από αντίγραφα ασφαλείας, οι εισβολείς διέγραψαν επίσης σκιώδη αντίγραφα συστήματος χρησιμοποιώντας εντολές PowerShell και WMIC.
Δείτε επίσης: Οι ransomware συμμορίες πλήττουν τη Νοτιοανατολική Ασία
Οι επιθέσεις ransomware, όπως η Fog, έχουν αναδειχθεί ως διαδεδομένη απειλή στο ψηφιακό τοπίο, στοχεύοντας άτομα και οργανισμούς. Αυτές οι κακόβουλες επιθέσεις περιλαμβάνουν την κρυπτογράφηση των δεδομένων του θύματος, με τον εισβολέα να απαιτεί πληρωμή λύτρων με αντάλλαγμα το κλειδί αποκρυπτογράφησης. Οι συνέπειες τέτοιων επιθέσεων μπορεί να είναι καταστροφικές, οδηγώντας σε σημαντικές οικονομικές απώλειες, λειτουργικές διακοπές και απώλεια ευαίσθητων πληροφοριών. Καθώς οι τακτικές των κυβερνοεγκληματιών εξελίσσονται, γίνεται όλο και πιο σημαντικό για τα άτομα και τις επιχειρήσεις να εφαρμόζουν ισχυρά μέτρα ασφαλείας, όπως τακτικά αντίγραφα ασφαλείας δεδομένων, εκπαίδευση εργαζομένων και ενημερωμένο λογισμικό προστασίας από ιούς, για τον μετριασμό των κινδύνων που σχετίζονται με το ransomware.
Πηγή: cybersecuritynews
