2 мая 2024 года лаборатория Arctic Wolf Labs начала отслеживать развертывание нового варианта программы-вымогателя, получившего название Fog. Активность вымогательского ПО была замечена в нескольких случаях Arctic Wolf Incident Response, каждый из которых имел схожие элементы. Все организации-жертвы находились в США, 80 % из них работали в сфере образования, а 20 % - в сфере отдыха.
Fog - это новый вариант программы-вымогателя, который был обнаружен в США в сфере образования и отдыха. Этот вариант вымогательского ПО был разработан независимыми аффилированными группами, которые действуют независимо друг от друга, а не как единая группа. В ходе расследования было установлено, что злоумышленники получали доступ к системам жертв, используя скомпрометированные учетные данные VPN. После получения доступа злоумышленники использовали различные методики бокового перемещения по сети, такие как использование RDP-подключений и PsExec для доступа к узлам. Злоумышленники также выключали защитник Windows на серверах, которые они атаковали. Они шифровали файлы VMDK и удаляли резервные копии. Все зараженные системы получали записку с требованием выкупа, и во всех случаях была развернута идентичная полезная нагрузка ransomware. За исключением уникального кода чата, все записки были идентичны.
Анализ программы-вымогателя показал, что она имеет общие черты с другими вариантами вымогательского ПО. При первом запуске программы она пытается создать файл журнала, в котором записывает состояние и ошибки. Программа также использует системную информацию, такую как количество доступных логических процессоров, чтобы определить количество потоков, выделяемых для процедуры шифрования. В программе присутствуют также настраиваемые параметры, которые контролируют различные действия до и после шифрования, такие как шифрование открытого ключа, расширение файлов после шифрования и создание заметки о выкупе. Программа также использует стандартные API-интерфейсы Windows для обнаружения и шифрования томов, сетевых ресурсов и файлов.
Indicators of Compromise
IPv4
- 107.161.50.26
- 5.230.33.176
- 77.247.126.200
SHA1
- 3477a173e2c1005a81d042802ab0f22cc12a4d55
- 44a76b9546427627a8d88a650c1bed3f1cc0278c
- 507b26054319ff31f275ba44ddc9d2b5037bd295
- 763499b37aacd317e7d2f512872f9ed719aacae1
- 83f00af43df650fda2c5b4a04a7b31790a8ad4cf
- 90be89524b72f330e49017a11e7b8a257f975e9a
- e1fb7d15408988df39a80b8939972f7843f0e785
- eeafa71946e81d8fe5ebf6be53e83a84dcca50ba
- f7c8c60172f9ae4dab9f61c28ccae7084da90a06
