Se ha observado que el equipo de ransomware Fog aumenta los volúmenes de ataques y apunta a verticales nuevas y más lucrativas en la búsqueda interminable de un pago, y puede estar en camino de convertirse en una de las organizaciones de delitos cibernéticos de más alto perfil, según según la información publicada por los servicios de respuesta a incidentes en Adlumin.
El mes pasado, el equipo de respuesta a incidentes de Adlumin ayudó a una empresa estadounidense de servicios financieros de tamaño mediano y anónima a través de un intento (y afortunadamente frustrado) de ataque de ransomware Fog, que apuntó sus datos a terminales que ejecutaban tanto Windows como Linux.
El incidente fracasó gracias a la tecnología de Adlumin, que incorpora archivos “señuelo”, utilizados para detectar actividad de ransomware en una red antes de su ejecución. Las máquinas afectadas fueron aisladas y los atacantes fueron bloqueados en cuestión de minutos.
Will Ledesma, director senior de detección y respuesta gestionadas de Adlumin, dijo que el ataque fue algo notable ya que apuntar a una empresa de servicios financieros marcó una desviación del perfil de víctima tradicional del equipo de Fog.
“El grupo Fog Ransomware, al que históricamente se ha observado que solo ataca a organizaciones en los sectores educativo y recreativo, ahora persigue objetivos más lucrativos en el sector de servicios financieros”, escribió.
Fog, una variante de la familia de ransomware STOP/DJVU que data de hace aproximadamente tres años, tiende a comenzar sus ataques utilizando credenciales VPN comprometidas para violar las defensas de la red. Una vez dentro del entorno de una víctima, utiliza técnicas como ataques pass-the-hash para elevar sus privilegios al nivel de administrador.
La pandilla también realiza una serie de acciones destinadas a eliminar las defensas cibernéticas, incluida la desactivación de las protecciones, el cifrado de archivos críticos, como los discos de máquinas virtuales (VMDK), desde el principio y la eliminación de copias de seguridad para evitar la recuperación. Por lo general, agrega archivos cifrados con extensiones .FOG o .FLOCKED y, como la mayoría de las otras pandillas, usa Tor para negociar con las víctimas.
Ledesma dijo que actualmente falta una atribución directa a otros actores de amenazas establecidos, lo que sugiere que Fog probablemente proviene de un grupo nuevo y altamente capacitado.
En el incidente al que respondió Adlumin, el equipo de investigación pudo rastrear la infiltración hasta un sistema desprotegido con direcciones IP originarias de Moscú, aunque esto no necesariamente prueba su procedencia.
Otros investigadores que monitorean Fog incluyen al equipo de Arctic Wolf, que observó una duración notablemente corta entre la intrusión inicial y el cifrado, lo que difiere de la práctica común en la mayoría de los escenarios de ransomware.
En un análisis publicado a principios de junio, el equipo de Arctic Wolf dijo que “los actores de amenazas parecen más interesados en un pago rápido en lugar de exigir un ataque más complejo que implique la exfiltración de datos y un sitio de fuga de alto perfil”, aunque debería ser señaló que la pandilla opera un sitio de fuga.
Sin embargo, la observación de Arctic Wolf parece coincidir con la teoría de Adlumin de que la tripulación ahora está cazando objetivos más ricos en efectivo, habiéndose especializado anteriormente en atacar escuelas y universidades.
Como tal, corresponde a los defensores de las empresas corporativas prestar atención a la creciente amenaza que representa Fog y, en particular, centrarse en mantener una infraestructura de respaldo segura y externa, además de las políticas estándar de defensa en profundidad.
El artículo completo de Ledesma para Adlumin, que incluye consejos más detallados sobre detección y remediación, se puede encontrar aquí.