Ομίχλη Ransomware που επιτίθεται σε οργανισμούς των Η.Π.Α. Εκμεταλλεύεται τα διαπιστευτήρια VPN που έχουν παραβιαστεί

Μια νέα παραλλαγή ransomware που ονομάζεται Fog έχει εμφανιστεί ως σημαντική απειλή για εκπαιδευτικούς και ψυχαγωγικούς οργανισμούς σε όλες τις Ηνωμένες Πολιτείες.

Από τις αρχές Μαΐου 2024, η Arctic Wolf Labs άρχισε να παρακολουθεί την ανάπτυξή της σε πολλαπλές περιπτώσεις αντιμετώπισης περιστατικών, με το 80 τοις εκατό των επηρεαζόμενων οργανισμών να δραστηριοποιούνται στον τομέα της εκπαίδευσης ενώ το 20 τοις εκατό ήταν σε ψυχαγωγία.

Η δραστηριότητα ransomware έχει παρατηρηθεί σε αρκετές περιπτώσεις, καθεμία από τις οποίες εμφανίζει παρόμοια μοτίβα και διαδικασίες επίθεσης. Όλα τα θύματα εντοπίστηκαν εντός των Ηνωμένων Πολιτειών, υποδεικνύοντας μια γεωγραφικά εστιασμένη εκστρατεία.

Το ransomware Fog λειτουργεί ως παραλλαγή και όχι ως ξεχωριστή ομάδα, αντιπροσωπεύοντας μια κρίσιμη διάκριση μεταξύ των δημιουργών λογισμικού και εκείνων που διεξάγουν τις πραγματικές επιθέσεις.

Αυτός ο διαχωρισμός έχει σημασία επειδή οι ομάδες ransomware εμφανίζονται συχνά ως μεμονωμένες οντότητες όταν στην πραγματικότητα περιλαμβάνουν πολλές ανεξάρτητες ομάδες συνεργατών.

Η οργανωτική δομή πίσω από το Fog παραμένει ασαφής αυτή τη στιγμή, αν και τα στοιχεία υποδηλώνουν συντονισμένη δραστηριότητα μεταξύ των παραγόντων απειλής.

Η τελευταία τεκμηριωμένη δραστηριότητα επίθεσης σε υποθέσεις που διερευνήθηκαν σημειώθηκε στις 23 Μαΐου 2024, παρέχοντας ένα σαφές χρονοδιάγραμμα για αμυντικά μέτρα.

Αναλυτές Arctic Wolf αναγνωρισθείς το κακόβουλο λογισμικό μετά τη δεύτερη παράγραφο όταν άρχισαν να ερευνούν αυτές τις περιπτώσεις στις αρχές Μαΐου.

Η ερευνητική ομάδα σημείωσε ότι σε κάθε υπόθεση που ερευνήθηκε, τα ιατροδικαστικά στοιχεία έδειχναν ότι οι παράγοντες απειλών απέκτησαν πρόσβαση σε περιβάλλοντα θυμάτων αξιοποιώντας τα διαπιστευτήρια VPN που είχαν παραβιαστεί μέσω δύο χωριστών προμηθευτών πύλης VPN.

Αυτή η μέθοδος πρόσβασης έγινε το κύριο σημείο εισόδου για την καμπάνια, υπογραμμίζοντας τις ευπάθειες στις στάσεις ασφαλείας απομακρυσμένης πρόσβασης.

Μεθοδολογία επίθεσης και μηχανισμοί μόλυνσης

Μόλις μπήκαν στα δίκτυα, οι φορείς απειλών ανέπτυξαν μια προσέγγιση πολλαπλών σταδίων που συνδυάζει κοινές τακτικές δοκιμών διείσδυσης με ανάπτυξη ransomware.

Η δραστηριότητα Pass-the-hash στόχευε λογαριασμούς διαχειριστή, οι οποίοι στη συνέχεια χρησιμοποιήθηκαν για τη δημιουργία συνδέσεων RDP σε διακομιστές Windows με συστήματα δημιουργίας αντιγράφων ασφαλείας Hyper-V και Veeam. Σε άλλη περίπτωση, το γέμισμα διαπιστευτηρίων διευκόλυνε την πλευρική κίνηση σε όλο το περιβάλλον.

Το PsExec αναπτύχθηκε σε πολλούς κεντρικούς υπολογιστές, ενώ τα πρωτόκολλα RDP και SMB παρείχαν πρόσβαση σε στοχευμένα συστήματα. Πριν ξεκινήσει η κρυπτογράφηση, το Windows Defender απενεργοποιήθηκε στους διακομιστές που επηρεάζονταν, καταργώντας ένα κρίσιμο επίπεδο άμυνας.

Το ωφέλιμο φορτίο ransomware παρουσιάζει τεχνικές κοινές σε άλλες παραλλαγές, με δείγματα από διαφορετικές περιπτώσεις που περιέχουν πανομοιότυπα μπλοκ κώδικα. Όταν εκτελείται, το δείγμα δημιουργεί ένα αρχείο που ονομάζεται DbgLog.sys στον κατάλογο %AppData% για την καταγραφή της κατάστασης δραστηριότητας.

Η ρουτίνα προετοιμασίας παραπέμπει στο NTDLL.DLL και στη συνάρτηση NtQuerySystemInformation για τη συλλογή πληροφοριών συστήματος για την εκχώρηση νημάτων.

Οι επιλογές γραμμής εντολών περιλαμβάνουν το NOMUTEX για ταυτόχρονη εκτέλεση, το TARGET για συγκεκριμένες τοποθεσίες ανακάλυψης και το CONSOLE για την εμφάνιση εξόδου.

Ένα μπλοκ διαμόρφωσης JSON ελέγχει τις δραστηριότητες κρυπτογράφησης, συμπεριλαμβανομένου του δημόσιου κλειδιού RSA, των επεκτάσεων αρχείων (συνήθως .FOG ή .FLOCKED), των ονομάτων σημειώσεων λύτρων και των διαδικασιών τερματισμού της υπηρεσίας.

Η ανακάλυψη αρχείων χρησιμοποιεί τυπικά API των Windows όπως το FindFirstVolume και το FindFirstFile, χρησιμοποιώντας παραλλαγές Unicode παντού.

Η διαδικασία κρυπτογράφησης χρησιμοποιεί μια ομάδα νημάτων κλιμακούμενη σε επεξεργαστές συστήματος, που κυμαίνεται από δύο έως δεκαέξι, εφαρμόζοντας τις λειτουργίες CryptImportKey και CryptEncrypt πριν μετονομάσετε αρχεία με διαμορφωμένες επεκτάσεις και γράψετε σημειώσεις λύτρων.

Τέλος, το vssadmin.exe εκτελεί με εντολές διαγραφής σκιών /all /quiet για την αφαίρεση των σκιωδών αντιγράφων τόμου, εξαλείφοντας τις επιλογές ανάκτησης αντιγράφων ασφαλείας.

Όνομα εργαλείου	Περιγραφή
PsExec	Επιτρέπει στους παράγοντες απειλών να εκτελούν διεργασίες σε άλλα συστήματα με πλήρη διαδραστικότητα για εφαρμογές κονσόλας, που χρησιμοποιούνται για πλευρική κίνηση και εκτέλεση εντολών
Metasploit	Πλαίσιο δοκιμών διείσδυσης εντοπίστηκε σε διακομιστές Veeam κατά τη διάρκεια αναγνώρισης
SoftPerfect Network Scanner	Εργαλείο διαχείρισης δικτύου που χρησιμοποιείται για την ανακάλυψη υπηρεσιών δικτύου σε στοχευμένα περιβάλλοντα
Προηγμένος σαρωτής θυρών	Δωρεάν βοηθητικό πρόγραμμα σάρωσης δικτύου και θυρών που αναπτύχθηκε για τον εντοπισμό προσβάσιμων υπηρεσιών δικτύου
SharpShares v2.3	Εργαλείο ανοιχτού κώδικα που χρησιμοποιείται για την απαρίθμηση και την ανακάλυψη προσβάσιμων κοινών χρήσεων δικτύου
Veeam-Get-Creds.ps1	Σενάριο PowerShell σχεδιασμένο για εξαγωγή κωδικών πρόσβασης από το Veeam Backup and Replication Credentials Manager

Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην ασφάλεια της υποδομής VPN, στην εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων, στη διατήρηση ασφαλών συστημάτων αντιγράφων ασφαλείας εκτός τοποθεσίας και στην ανάπτυξη στρατηγικών άμυνας σε βάθος.

Οι παράγοντες της απειλής επέδειξαν οικονομικά κίνητρα με γρήγορες χρονοδιαγράμματα κρυπτογράφησης και χωρίς παρατηρούμενη διείσδυση δεδομένων, υποδεικνύοντας προθέσεις γρήγορων πληρωμών αντί περίπλοκων προγραμμάτων εκβιασμού που περιλαμβάνουν δημόσιες τοποθεσίες διαρροής.