Μια νέα επιχείρηση ransomware με την ονομασία «Fog» ξεκίνησε στις αρχές Μαΐου 2024, χρησιμοποιώντας παραβιασμένα VPN credentials για πρόσβαση στα δίκτυα εκπαιδευτικών οργανισμών στις Η.Π.Α.
Το ransomware ανακαλύφθηκε από ερευνητές της Artic Wolf Labs, οι οποίοι παρατήρησαν ότι προς το παρόν η ομάδα δεν φαίνεται να κλέβει δεδομένα, ούτε έχει δημιουργήσει ένα site εκβιασμών (για διαρροή δεδομένων).
Ωστόσο, σύμφωνα με το BleepingComputer, η συμμορία ransomware κλέβει δεδομένα για επιθέσεις διπλού εκβιασμού, χρησιμοποιώντας αυτά τα κλεμμένα δεδομένα για να ασκήσει περισσότερη πίεση στα θύματα και να τα αναγκάσει να πληρώσουν λύτρα.
Δείτε επίσης: Το RansomHub εκμεταλλεύεται το ZeroLogon σε επιθέσεις ransomware
Παραβιασμένα VPN credentials για αρχική πρόσβαση
Όπως προαναφέρθηκε, οι χειριστές του Fog ransomware αποκτούν αρχική πρόσβαση σε περιβάλλοντα των εκπαιδευτικών οργανισμών – θυμάτων χρησιμοποιώντας παραβιασμένα VPN credentials.
Η τελευταία τεκμηριωμένη δραστηριότητα σημειώθηκε στις 23 Μαΐου 2024.
Μόλις αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο, οι επιτιθέμενοι εκτελούν επιθέσεις “pass-the-hash” σε λογαριασμούς διαχειριστή, που χρησιμοποιούνται για τη δημιουργία συνδέσεων RDP σε διακομιστές Windows που εκτελούν Hyper-V.
Επιπλέον, έχουν παρατηρηθεί credential stuffing επιθέσεις για την παραβίαση πολύτιμων λογαριασμών και ανάπτυξη του PsExec σε πολλούς κεντρικούς υπολογιστές.
Σε διακομιστές Windows, το Fog ransomware απενεργοποιεί το Windows Defender, ώστε τα θύματα να μην λάβουν κάποια προειδοποίηση, πριν από την εκτέλεση του κρυπτογραφητή.
Όταν το ransomware αναπτύσσεται, εκτελεί Windows API calls για να συγκεντρώσει πληροφορίες σχετικά με το σύστημα. Στη συνέχεια, τερματίζει μια λίστα διεργασιών και υπηρεσιών. Μετά ξεκινά η κρυπτογράφηση, όπου το Fog ransomware κρυπτογραφεί αρχεία VMDK στον χώρο αποθήκευσης Virtual Machine (VM) και διαγράφει αντίγραφα ασφαλείας για να αποτρέψει την εύκολη επαναφορά.
Στα κρυπτογραφημένα αρχεία προστίθεται η επέκταση “.FOG” ή “.FLOCKED” (μπορεί να προστεθούν και άλλες επεκτάσεις).
Δείτε επίσης: Η έκδοση Linux του TargetCompany ransomware στοχεύει VMware ESXi
Τέλος, οι hackers αφήνουν ένα σημείωμα λύτρων, παρέχοντας οδηγίες στα θύματα σχετικά με την πληρωμή για την απόκτηση ενός κλειδιού αποκρυπτογράφησης.
Το BleepingComputer είδε το σημείωμα λύτρων σε μια επίθεση. Ονομάζεται readme.txt και περιέχει έναν σύνδεσμο προς ένα Tor dark website που χρησιμοποιείται για διαπραγμάτευση. Αυτός ο ιστότοπος είναι μια βασική διεπαφή συνομιλίας που επιτρέπει στο θύμα του ransomware να διαπραγματευτεί με τους επιτιθέμενους και να λάβει μια λίστα με κλεμμένα αρχεία.
Ransomware επιθέσεις
Συνεχώς εμφανίζονται νέα ransomware, γι’ αυτό υπάρχει ανάγκη για ισχυρά μέτρα κυβερνοασφάλειας. Κάποια από αυτά είναι:
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα
.Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικό είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο, συμπεριλαμβανομένου του ransomware. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: LockBit ransomware: Το FBI ανέκτησε πάνω από 7.000 κλειδιά αποκρυπτογράφησης
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com