Новый вирус-вымогатель Fog атакует школы через взломанные VPN

Новый вирус-вымогатель Fog атакует школы через взломанные VPN

Был обнаружен новый штамм программы-вымогателя, использующий скомпрометированные учетные данные для доступа к конечным точкам своих жертв.

Исследователи из Arctic Wolf, которые начали отслеживать вариант программы-вымогателя в начале мая 2024 года, назвали его Fog. Его жертвами в основном являются образовательные организации в США, а другие известные примеры приходится на индустрию отдыха.

На данный момент Arctic Wolf наблюдала, как злоумышленники использовали скомпрометированные учетные данные VPN как минимум от двух поставщиков шлюзов: «В каждом из расследованных случаев судебно-медицинские доказательства показали, что злоумышленники могли получить доступ к среде жертвы, используя скомпрометированные учетные данные VPN», — пояснил Arctic Wolf. «Примечательно, что удаленный доступ осуществлялся через двух отдельных поставщиков VPN-шлюзов. Последняя задокументированная угроза в наших случаях произошла 23 мая 2024 года».

Кража данных

После компрометации сети злоумышленники пытаются получить доступ к ценным учетным записям, в том числе к тем, которые способны устанавливать соединения по протоколу удаленного рабочего стола (RDP). Затем они пытаются отключить Защитника Windows и подготовить почву для развертывания шифровальщика.

Fog также зашифрует файлы VMDK в хранилище виртуальных машин (VM) и удалит резервные копии из хранилища объектов в теневых копиях томов Veeam и Windows. Зашифрованные файлы имеют расширение .FOG. Наконец, программа-вымогатель оставит записку с инструкциями жертвам, как связаться с ней и попытаться расшифровать систему.



Arctic Wolf не обнаружил доказательств того, что злоумышленники украли конфиденциальные данные перед запуском шифровальщика, но ПипКомпьютер говорит, что это так. Фактически, в записке о выкупе содержится ссылка на темный веб-сайт Tor, где злоумышленники делятся образцами украденных данных с жертвами, доказывая, что они действительно захватили конфиденциальные файлы.

Больше от TechRadar Pro