Исследователи из компании Arctic Wolf обнаружили новую группу вымогателей «Fog», которая использует старомодные методы для быстрой прибыли, блокируя данные в виртуальных средах.
Группа «Fog» впервые была замечена 2 мая этого года, а уже к 23 мая она провела множество успешных атак: быстро проникала в системы, шифровала данные в виртуальных средах и оставляла записки с требованиями выкупа.
Атаки «Fog» обычно начинаются с использования украденных учётных данных виртуальных частных сетей (VPN). Этот способ в последнее время становится всё популярнее для доступа в крупные организации.
Группа уже использовала уязвимости двух различных поставщиков VPN-шлюзов, названия которых Arctic Wolf не раскрывает. В одном из случаев «Fog» использовала метод «pass the hash» для компрометации учётных записей администратора в сети цели. Затем группа установила подключение по протоколу удалённого рабочего стола (RDP) к серверам Windows, работающим с гипервизором Hyper-V и программным обеспечением Veeam для защиты данных.
К другим типичным методам «Fog» относятся перебор учётных данных, использование стандартных инструментов Windows и открытых источников, таких как Metasploit и PsExec, отключение Windows Defender и использование Tor для связи с жертвами.
В отличие от других групп вымогателей, «Fog» не эксфильтрирует данные, не имеет сайтов утечек и не занимается двойным или тройным вымогательством. Исследователи считают, что злоумышленники заинтересованы в быстром получении выкупа, а не в проведении более сложных атак.
До сих пор «Fog» нацеливалась исключительно на организации в США. Причём 80% от всех атак пришлось на образовательные учреждения, а оставшиеся 20% на индустрию развлечений.
Керри Шафер-Пейдж, вице-президент по реагированию на инциденты в Arctic Wolf, считает, что выбор образовательного сектора не случаен. «Образование часто недофинансировано и недостаточно оснащено в плане кибербезопасности. Во время летних каникул и при маленьких IT-отделах это идеальная возможность для атакующих», — поясняет Шафер-Пейдж.
Чтобы компенсировать эти недостатки, Шафер-Пейдж подчёркивает важность правильного управления учётными данными. «Сотрудники должны понимать, как управлять своими учётными данными. Злоумышленники ищут способ перемещаться по сети и повышать свои привилегии. Как только они добьются этого, они смогут получить доступ к самым ценным данным,» — заключает эксперт.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://arcticwolf.com/resources/blog/lost-in-the-fog-a-new-ransomware-threat/</pre>