Ransomware Fog
Artic Wolf Labs descubrió un nuevo grupo de ransomware llamado Fog el pasado mayo de 2024. Este ransomware opera usando credenciales de VPN comprometidas para poder irrumpir en redes educacionales de organizaciones en Estados Unidos. [1]
Fog tiene una manera de operar de forma algo anticuada, pues bloquea datos en entornos virtuales para obtener pagos de manera rápida, se infiltra y encripta rápidamente los datos que están almacenados en entornos de virtualización, y deja una nota de rescate, pero no se filtra nada.[2]
Los ataques de Fog comienzan robando credenciales de red virtual privada (VPN), se sabe que el grupo ha explotado con éxito dos diferentes proveedores de puertas de enlace VPN, dichos proveedores siguen siendo desconocidos debido a que Arctic Wolf se negó a dar información al respecto.[1][2]
Una vez que se tiene acceso a la red interna, se utiliza una técnica que se llama “pass-the-hash” el cual consiste en utilizar una credencial robada de un usuario con un hash y se utiliza para engañar al mecanismo de autenticación, fog utiliza esta técnica con cuentas de administrador, las cuales son utilizadas para establecer conexiones RDP hacia servidores de Windows que ejecutan Hyper-V.[1]
En servidores que utilizan Windows, el ransomware desactiva Windows Defender para evitar que se notifique a la víctima. Acto seguido se implementa el ransomware y este hace llamados a la API de Windows para así poder recopilar información del sistema y hacer una lista de procesos y servicios basados en una lista codificada en la configuración antes de iniciar el proceso de cifrado de archivos.[1]
Fog encripta los archivos VMDK en el almacenamiento de la máquina virtual (VM) y procede a eliminar las copias de seguridad del almacenamiento de objetos en Veeam y las copias del volumen de sombra en Windows para prevenir una restauración fácil y se añade la extensión .FOG o .FLOCKED a los archivos cifrados.[1]
Por último, se deja una nota de rescate proporcionando la información para el pago por la llave que desencriptara los archivos.[1]
Imagen de la nota de rescate.[1]
Taxonomía MITRE ATT&CK
|
Táctica |
Tecnica |
ID |
|
Initial access |
External Remote Services |
T1133 |
|
Initial access |
Valid Accounts |
T1078 |
|
Discovery |
Network Service Discovery |
T1046 |
|
Discovery |
Network Share Discovery |
T1135 |
|
Lateral Movement |
Remote Services |
T1021 |
|
Lateral Movement |
Lateral Tool Transfer |
T1570 |
|
Lateral Movement |
Remote Desktop Protocol |
T1021.001 |
|
Lateral Movement |
SMB/Windows Admin Shares |
T1021.002 |
|
Credential Access |
OS Credential Dumping |
T1003 |
|
Credential Access |
Credentials from Password Stores |
T1555 |
|
Credetial Access |
Brute Force |
T1110 |
|
Credetial Access |
NTDS |
T1003.003 |
|
Credetial Access |
Credential Stuffing |
T1110.004 |
|
Persistance |
Create Account |
T1136 |
|
Persistance |
Local Account (Administrator) |
T1136.001 |
|
Execution |
Command and Scripting Interpreter |
T1059 |
|
Execution |
System Services |
T1569 |
|
Execution |
Windows Command Shell |
T1059.003 |
|
Execution |
Service Execution (PsExec) |
T1569.002 |
|
Defense evation |
Impair Defenses |
T1562 |
|
Defense evation |
Use Alternate Authentication Material |
T1550 |
|
Defense evation |
Valid Accounts |
T1078 |
|
Defense evation |
Deobfuscate/Decode Files or Information |
T1140 |
|
Defense evation |
Indicator Removal |
T1070 |
|
Defense evation |
Disable or Modify Tools (Windows Defender/AV) |
T1562.001 |
|
Defense evation |
Pass the Hash |
T1550.002 |
|
Impact |
Data Encrypted for Impact |
T1486 |
|
Impact |
Inhibit System Recovery |
T1490 |
|
Impact |
Service Stop |
T1489 |
Indicadores de compromiso:
|
Tipo |
Indicador |
|
SHA-1 |
f7c8c60172f9ae4dab9f61c28ccae7084da90a06 |
|
SHA-1 |
507b26054319ff31f275ba44ddc9d2b5037bd295 |
|
SHA-1 |
e1fb7d15408988df39a80b8939972f7843f0e785 |
|
SHA-1 |
83f00af43df650fda2c5b4a04a7b31790a8ad4cf |
|
SHA-1 |
44a76b9546427627a8d88a650c1bed3f1cc0278c |
|
SHA-1 |
eeafa71946e81d8fe5ebf6be53e83a84dcca50ba |
|
SHA-1 |
763499b37aacd317e7d2f512872f9ed719aacae1 |
|
SHA-1 |
3477a173e2c1005a81d042802ab0f22cc12a4d55 |
|
SHA-1 |
90be89524b72f330e49017a11e7b8a257f975e9a |
|
File Extension |
.flocked |
|
File Extension |
.fog |
|
IP |
5.230.33[.]176 |
|
IP |
77.247.126[.]200 |
|
IP |
107.161.50[.]26 |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Toulas, B. (2024, 6 de Junio) New Fog ransomware targets US education sector via breached VPNs. Recuperado el 18 de Julio del 2024 en: https://www.bleepingcomputer.com/news/security/new-fog-ransomware-targets-us-education-sector-via-breached-vpns/
- Nelson, N. (2024, 4 Junio) 'Fog' Ransomware Rolls in to Target Education, Recreation Sectors. Recuperado el 18 de Julio del 2024 en: https://www.darkreading.com/threat-intelligence/fog-ransomware-rolls-in-to-target-education-recreation-sectors
- Hostetler, S. Campbell, S. Prest, C. Belifore, C. Neis, M. Wedderspoon, J. McQuown, R. Arctic Wolf Labs Team. (2024, 4 Junio) Lost in the Fog: A New Ransomware Threat. Recuperado el 18 de Julio del 2024 en: https://arcticwolf.com/resources/blog/lost-in-the-fog-a-new-ransomware-threat/
