Зловещий туман: вымогательская банда «Fog» активно терроризирует образовательные учреждения

Исследователи из компании Arctic Wolf обнаружили новую группу вымогателей «Fog» («Туман»), которая использует старомодные методы для быстрой прибыли, блокируя данные в виртуальных средах.

Группа «Fog» впервые была замечена 2 мая этого года, а уже к 23 мая она провела множество успешных атак: быстро проникала в системы, шифровала данные в виртуальных средах и оставляла записки с требованиями выкупа.

Атаки «Fog» обычно начинаются с использования украденных учётных данных виртуальных частных сетей ( VPN ). Этот способ в последнее время становится всё популярнее для доступа в крупные организации.

Группа уже использовала уязвимости двух различных поставщиков VPN-шлюзов, названия которых Arctic Wolf не раскрывает. В одном из случаев «Fog» использовала метод «pass the hash» для компрометации учётных записей администратора в сети цели. Затем группа установила подключение по протоколу удалённого рабочего стола ( RDP ) к серверам Windows, работающим с гипервизором Hyper-V и программным обеспечением Veeam для защиты данных.

К другим типичным методам «Fog» относятся перебор учётных данных, использование стандартных инструментов Windows и открытых источников, таких как Metasploit и PsExec, отключение Windows Defender и использование Tor для связи с жертвами.

В отличие от других групп вымогателей, «Fog» не эксфильтрирует данные, не имеет сайтов утечек и не занимается двойным или тройным вымогательством. Исследователи считают, что злоумышленники заинтересованы в быстром получении выкупа, а не в проведении более сложных атак.

До сих пор «Fog» нацеливалась исключительно на организации в США. Причём 80% от всех атак пришлось на образовательные учреждения, а оставшиеся 20% на индустрию развлечений.

Керри Шафер-Пейдж, вице-президент по реагированию на инциденты в Arctic Wolf, считает, что выбор образовательного сектора не случаен. «Образование часто недофинансировано и недостаточно оснащено в плане кибербезопасности. Во время летних каникул и при маленьких IT-отделах это идеальная возможность для атакующих», — поясняет Шафер-Пейдж.

Чтобы компенсировать эти недостатки, Шафер-Пейдж подчёркивает важность правильного управления учётными данными. «Сотрудники должны понимать, как управлять своими учётными данными. Злоумышленники ищут способ перемещаться по сети и повышать свои привилегии. Как только они добьются этого, они смогут получить доступ к самым ценным данным», — заключает эксперт.