El ransomware Fog surgió en abril de 2024 con operaciones dirigidas a sistemas Windows y Linux. Fog es una operación de extorsión de múltiples frentes que aprovecha un Dedicated Leak Sites (DLS). basado en TOR para enumerar a las víctimas y alojar datos de quienes se niegan a cumplir con sus demandas de rescate.
Nos referimos a Fog como una variante de ransomware en lugar de un grupo para distinguir entre las entidades responsables de crear el software de cifrado y las que realizan los ataques prácticos contra las víctimas. Esta es una distinción fundamental porque los grupos de ransomware a veces proyectan una imagen de ser un grupo singular cuando, de hecho, están compuestos por grupos afiliados independientes. En este momento, se desconoce la estructura organizativa del grupo o grupos responsables de llevar a cabo ataques que implementan el ransomware Fog.
Los ataques del ransomware Fog se han centrado principalmente en los sectores de la educación, el ocio, los viajes y la fabricación y, en Argentina a sectores farmacéutico y médico. Los ataques se dirigían principalmente a entidades de los Estados Unidos, aunque no hay duda que también han afectado a entidades fuera de los Estados Unidos y en América Latina.
¿Cómo funciona el ransomware Fog?
Los actores de amenazas Fog dependen en gran medida de la explotación de aplicaciones conocidas y vulnerables. Los operadores generalmente logran el acceso inicial mediante la compra de credenciales comprometidas de un Agente de Acceso Inicial (IAB). Los operadores aprovecharán cuentas comprometidas y/o compradas en el mercado negro para establecer un punto de apoyo en el entorno y luego se mueven lateralmente de manera metódica.
Existen variantes del ransomware Fog para plataformas Windows y Linux. Las variantes con sabor a Linux incluyen objetivos específicos ajustados para entornos virtuales (por ejemplo, archivos VMSD y VMDK). Las cargas útiles Fog también intentarán terminar varios procesos asociados con estos entornos virtualizados.
Al realizar el cifrado, se añaden las extensiones «.fog», «.Fog» o «.FLOCKED» a los archivos afectados.
Las variantes de Fog para Windows intentan eliminar las instantáneas de volumen a través de vssadmin.exe. Además, las versiones de Fog para Windows incluyen una sección de configuración basada en JSON. Los operadores pueden personalizar la extensión adjunta a los archivos cifrados junto con la configuración del nombre de la nota de rescate, la terminación del proceso o servicio y la clave pública RSA que se incorporará para el uso del cifrado.
Las notas de rescate de Fog se escriben en cada ubicación que contiene archivos cifrados como «readme.txt». La nota indica a las víctimas que se comuniquen con los atacantes a través de su portal de víctimas basado en TOR.
Acceso a las redes comprometidas y robo de datos
La evidencia forense indica que los actores de amenazas pudieron acceder a los entornos de las víctimas aprovechando las credenciales de VPN comprometidas. En particular, el acceso remoto se produjo a través de dos proveedores de puerta de enlace de VPN independientes.
En uno de los casos, se observó actividad de pass-the-hash contra cuentas de administrador que luego se usaron para establecer conexiones RDP a servidores Windows que ejecutaban Hyper-V y Veeam. En otro caso, se observó evidencia de robo de credenciales, que se pensó que facilitaba el movimiento lateral en todo el entorno. En todos los casos, PsExec se implementó en varios hosts y se utilizó RDP/SMB para acceder a los hosts objetivo.
En los servidores Windows con los que interactuaron los actores de amenazas, los actores de amenazas deshabilitaron Windows Defender. Se observó que los actores de amenazas cifraban archivos VMDK en el almacenamiento de máquinas virtuales y eliminaban copias de seguridad del almacenamiento de objetos en Veeam.
En muchos casos de ransomware Fog investigados, se observó que los dispositivos establecían conexiones regulares con la herramienta de acceso remoto AnyDesk. Esto se ejemplificó mediante una comunicación constante con el punto final «download[.]anydesk[.]com». En otros casos, se identificó el uso de otra herramienta de administración remota, concretamente SplashTop, en los servidores de los clientes.
Reconocimiento interno
En las infecciones se observa que los dispositivos afectados realizan una cantidad inusual de conexiones internas fallidas a otras ubicaciones internas a través de puertos como 80 (HTTP), 3389 (RDP), 139 (NetBIOS) y 445 (SMB). Este patrón de actividad indicaba claramente un comportamiento de escaneo de reconocimiento dentro de las redes afectadas. Una investigación más a fondo de estas conexiones HTTP reveló casos comúnmente asociados con el uso de la herramienta Nmap.
Al mismo tiempo, se observó que algunos dispositivos realizaban acciones SMB dirigidas al recurso compartido IPC$. Dicha actividad se alinea con las tácticas de enumeración SMB típicas, mediante las cuales los atacantes consultan la lista de servicios que se ejecutan en un host remoto utilizando una sesión NULL, un método que se emplea a menudo para recopilar información sobre recursos de red y vulnerabilidades.
Movimiento lateral
Mientras los atacantes intentan moverse lateralmente a través de las redes afectadas, se observa una actividad RDP sospechosa entre los dispositivos infectados. Se establecieron múltiples conexiones RDP con nuevos clientes, utilizando los dispositivos como pivotes para propagarse más profundamente en las redes. Después de esto, los dispositivos en múltiples redes exhibieron un alto volumen de actividad de lectura y escritura SMB, con nombres de archivos de unidades compartidas internas con la extensión «.flocked» (o similar), una clara señal de cifrado de ransomware. Casi al mismo tiempo, se detectaron múltiples archivos «readme.txt» distribuidos en las redes afectadas, que luego se identificaron como notas de rescate.
Exfiltración de datos
En uno de los casos del ransomware Fog, se observó una posible exfiltración de datos que implicaba la transferencia de archivos internos a un punto final inusual asociado con el servicio de almacenamiento de archivos MEGA.
Este intento de exfiltración sugiere el uso de tácticas de doble extorsión, donde los actores de amenazas no solo cifran los datos de la víctima, sino que también los exfiltran para amenazar con exponerlos públicamente a menos que se pague un rescate. Esto a menudo aumenta la presión sobre las organizaciones, ya que enfrentan el riesgo de pérdida de datos y daño a la reputación causado por la divulgación de información confidencial.
Fuente y redacción: segu-info.com.ar