Fog Ransomware: Атака с необычным набором инструментов нацелена на финансовый сектор Азии

Атакующие использовали программу Syteca (ранее известную как Ekran) - легальное решение для мониторинга активности сотрудников, способное записывать действия на экране и перехватывать нажатия клавиш. Это первый зафиксированный случай применения подобного ПО в цепочке атак ransomware. Кроме того, в ходе инцидента были задействованы открытые инструменты для пентеста - GC2, Adaptix и Stowaway, которые редко встречаются в подобных атаках.

Особенностью этой атаки стало также создание сервиса для поддержания доступа к сети жертвы уже после развертывания ransomware. Обычно злоумышленники прекращают активность после шифрования данных, но в данном случае они явно стремились сохранить контроль.

Fog Ransomware впервые была замечена в мае 2024 года, первоначально атакуя образовательные учреждения в США через скомпрометированные VPN-учетные данные. Позже злоумышленники начали эксплуатировать уязвимость CVE-2024-40711 (CVSS 9.8) в серверах Veeam Backup & Replication, а также распространяли вредоносное ПО через фишинговые письма. В некоторых случаях вымогатели насмешливо упоминали в ransom-нотах «Департамент эффективности правительства» Илона Маска (DOGE), предлагая жертвам «бесплатное» дешифрование в обмен на распространение ransomware.

В ходе последней атаки злоумышленники провели на сети жертвы около двух недель перед развертыванием ransomware. Среди использованных инструментов - GC2, который позволяет выполнять команды через Google Sheets или SharePoint, а также Stowaway, применявшийся для доставки Syteca. Атакующие активно использовали PsExec и SMBExec для перемещения по сети, а также утилиты для кражи данных, включая FreeFileSync и MegaSync.

Необычный набор инструментов и попытки сохранить доступ к сети после шифрования данных позволяют предположить, что атака могла преследовать не только финансовые цели, но и задачи кибершпионажа. Этот инцидент подчеркивает необходимость усиления защиты корпоративных сетей, особенно в финансовом секторе, где злоумышленники применяют все более изощренные методы.

IPv4

• 66.112.216.232
• 97.64.81.119

Domains

• amanda.protoflint.com

SHA256

• 13d70c27dfa36ba3ae1b10af6def9bf34de81f6e521601123a5fa5b20477f277
• 181cf6f9b656a946e7d4ca7c7d8a5002d3d407b4e89973ecad60cee028ae5afa
• 279f32c2bb367cc50e053fbd4b443f315823735a3d78ec4ee245860043f72406
• 3d1d4259fc6e02599a912493dfb7e39bd56917d1073fdba3d66a96ff516a0982
• 44bb7d9856ba97271d8f37896071b72dfbed2d9fb6c70ac1e70247cddbd54490
• 4d80c6fcd685961e60ba82fa10d34607d09dacf23d81105df558434f82d67a5e
• 8ed42a1223bfaec9676780137c1080d248af9ac71766c0a80bed6eb4a1b9b4f1
• 90a027f44f7275313b726028eaaed46f6918210d3b96b84e7b1b40d5f51d7e85
• 982d840de531e72a098713fb9bd6aa8a4bf3ccaff365c0f647e8a50100db806d
• b448321baae50220782e345ea629d4874cbd13356f54f2bbee857a90b5ce81f6
• ba96c0399319848da3f9b965627a583882d352eb650b5f60149b46671753d7dd
• bb4f3cd0bc9954b2a59d6cf3d652e5994757b87328d51aa7b1c94086b9f89be0
• e1f571f4bc564f000f18a10ebb7ee7f936463e17ebff75a11178cc9fb855fca4
• f1c22cbd2d13c58ff9bafae2af33c33d5b05049de83f94b775cdd523e393ec40
• f37c62c5b92eecf177e3b7f98ac959e8a67de5f8721da275b6541437410ffae1
• f6cfd936a706ba56c3dcae562ff5f75a630ff5e25fcb6149fe77345afd262aab
• fcf1da46d66cc6a0a34d68fe79a33bc3e8439affdee942ed82f6623586b01dd1
• fd9f6d828dea66ccc870f56ef66381230139e6d4d68e2e5bcd2a60cc835c0cc6