El ransomware Fog surgió en abril de 2024 con
operaciones dirigidas a sistemas Windows y Linux. Fog es una operación
de extorsión de múltiples frentes que aprovecha un Dedicated Leak Sites (DLS).
basado en TOR para enumerar a las víctimas y alojar datos de quienes se niegan
a cumplir con sus demandas de rescate.
Nos referimos a Fog como una variante de ransomware en lugar de un grupo
para distinguir entre las entidades responsables de crear el software de
cifrado y las que realizan los ataques prácticos contra las víctimas.
Esta es una distinción fundamental porque los grupos de ransomware a veces
proyectan una imagen de ser un grupo singular cuando, de hecho, están
compuestos por grupos afiliados independientes. En este momento, se desconoce
la estructura organizativa del grupo o grupos responsables de llevar a cabo
ataques que implementan el ransomware Fog.
Los ataques del ransomware Fog se han centrado principalmente en los sectores
de la educación, el ocio, los viajes y la fabricación y, en Argentina a
sectores farmacéutico y médico. Los ataques se dirigían principalmente a
entidades de los Estados Unidos, aunque no hay duda que también han afectado a
entidades fuera de los Estados Unidos y en América Latina.
¿Cómo funciona el ransomware Fog?
Los actores de amenazas Fog dependen en gran medida de la explotación de
aplicaciones conocidas y vulnerables. Los operadores generalmente logran el
acceso inicial mediante la compra de credenciales comprometidas de un Agente
de Acceso Inicial (IAB). Los operadores aprovecharán cuentas comprometidas y/o
compradas en el mercado negro para establecer un punto de apoyo en el entorno
y luego se mueven lateralmente de manera metódica.
Existen variantes del ransomware Fog para plataformas Windows y Linux.
Las variantes con sabor a Linux incluyen objetivos específicos ajustados para
entornos virtuales (por ejemplo, archivos VMSD y VMDK). Las cargas útiles Fog
también intentarán terminar varios procesos asociados con estos entornos
virtualizados.
Al realizar el cifrado, se añaden las extensiones «.fog», «.Fog» o «.FLOCKED»
a los archivos afectados.
Las variantes de Fog para Windows intentan eliminar las instantáneas de
volumen a través de vssadmin.exe. Además, las versiones de Fog
para Windows incluyen una sección de configuración basada en JSON. Los
operadores pueden personalizar la extensión adjunta a los archivos cifrados
junto con la configuración del nombre de la nota de rescate, la terminación
del proceso o servicio y la clave pública RSA que se incorporará para el uso
del cifrado.
Las notas de rescate de Fog se escriben en cada ubicación que contiene
archivos cifrados como «readme.txt». La nota indica a las víctimas que
se comuniquen con los atacantes a través de
su portal de víctimas basado en TOR.
Acceso a las redes comprometidas y robo de datos
La evidencia forense indica que los actores de amenazas pudieron acceder a los
entornos de las víctimas aprovechando las credenciales de VPN comprometidas.
En particular, el acceso remoto se produjo a través de dos proveedores de
puerta de enlace de VPN independientes.
En uno de los casos, se observó actividad de pass-the-hash contra
cuentas de administrador que luego se usaron para establecer conexiones RDP a
servidores Windows que ejecutaban Hyper-V y Veeam. En otro caso, se observó
evidencia de robo de credenciales, que se pensó que facilitaba el movimiento
lateral en todo el entorno. En todos los casos, PsExec se implementó en varios
hosts y se utilizó RDP/SMB para acceder a los hosts objetivo.
En los servidores Windows con los que interactuaron los actores de amenazas,
los actores de amenazas deshabilitaron Windows Defender. Se observó que los
actores de amenazas cifraban archivos VMDK en el almacenamiento de máquinas
virtuales y eliminaban copias de seguridad del almacenamiento de objetos en
Veeam.
En muchos casos de ransomware Fog investigados, se observó que los
dispositivos establecían conexiones regulares con la herramienta de acceso
remoto AnyDesk. Esto se ejemplificó mediante una comunicación constante con el
punto final «download[.]anydesk[.]com». En otros casos, se identificó
el uso de otra herramienta de administración remota, concretamente SplashTop,
en los servidores de los clientes.
Reconocimiento interno
En las infecciones se observa que los dispositivos afectados realizan una
cantidad inusual de conexiones internas fallidas a otras ubicaciones internas
a través de puertos como 80 (HTTP), 3389 (RDP), 139 (NetBIOS) y 445 (SMB).
Este patrón de actividad indicaba claramente un comportamiento de escaneo de
reconocimiento dentro de las redes afectadas. Una investigación más a fondo de
estas conexiones HTTP reveló casos comúnmente asociados con el uso de la
herramienta Nmap.
Al mismo tiempo, se observó que algunos dispositivos realizaban acciones SMB
dirigidas al recurso compartido IPC$. Dicha actividad se alinea con las
tácticas de enumeración SMB típicas, mediante las cuales los atacantes
consultan la lista de servicios que se ejecutan en un host remoto utilizando
una sesión NULL, un método que se emplea a menudo para recopilar información
sobre recursos de red y vulnerabilidades.
Movimiento lateral
Mientras los atacantes intentan moverse lateralmente a través de las redes
afectadas, se observa una actividad RDP sospechosa entre los dispositivos
infectados. Se establecieron múltiples conexiones RDP con nuevos clientes,
utilizando los dispositivos como pivotes para propagarse más profundamente en
las redes. Después de esto, los dispositivos en múltiples redes exhibieron un
alto volumen de actividad de lectura y escritura SMB, con nombres de archivos
de unidades compartidas internas con la extensión «.flocked» (o
similar), una clara señal de cifrado de ransomware. Casi al mismo tiempo, se
detectaron múltiples archivos «readme.txt» distribuidos en las redes
afectadas, que luego se identificaron como notas de rescate.
Exfiltración de datos
En uno de los casos del ransomware Fog,
se observó una posible exfiltración de datos que implicaba la transferencia
de archivos internos a un punto final
inusual asociado con el servicio de almacenamiento de archivos MEGA.
Este intento de exfiltración sugiere el uso de tácticas de doble extorsión,
donde los actores de amenazas no solo cifran los datos de la víctima, sino que
también los exfiltran para amenazar con exponerlos públicamente a menos que se
pague un rescate. Esto a menudo aumenta la presión sobre las organizaciones,
ya que enfrentan el riesgo de pérdida de datos y daño a la reputación causado
por la divulgación de información confidencial.
Fuente:
Artic Wolf
|
Dark Trace
Los comentarios están cerrados.