Según la información publicada por los equipos de respuesta a incidentes de Adlumin, se ha observado que el equipo de ransomware Fog ha aumentado el volumen de ataques y ha apuntado a nuevos sectores verticales más lucrativos en la búsqueda interminable de un pago, y puede estar en camino de convertirse en una de las organizaciones de delitos cibernéticos de más alto perfil. El mes pasado, el equipo de respuesta a incidentes de Adlumin ayudó a una empresa de servicios financieros estadounidense de tamaño medio sin identificar a través de un intento de ataque de ransomware Fog (que afortunadamente fue frustrado) que apuntaba a sus datos en puntos finales que ejecutaban Windows y Linux. El incidente quedó en nada gracias a la tecnología de Adlumin, que incorpora archivos «señuelo» utilizados para detectar la actividad de ransomware en una red antes de su ejecución. Las máquinas afectadas fueron aisladas y los atacantes quedaron bloqueados en minutos. El director sénior de detección y respuesta gestionadas de Adlumin, Will Ledesma, dijo que el ataque fue algo digno de mención, ya que apuntar a una empresa de servicios financieros marcó un cambio con respecto al perfil de víctima tradicional del equipo de Fog. “El grupo de ransomware Fog, que históricamente solo se ha observado que ataca a organizaciones en los sectores de la educación y el ocio, ahora está buscando objetivos más lucrativos en el sector de los servicios financieros”, escribió. Fog, una variante de la familia de ransomware STOP/DJVU que data de hace aproximadamente tres años, tiende a comenzar sus ataques utilizando credenciales de VPN comprometidas para violar las defensas de la red. Una vez dentro del entorno de la víctima, utiliza técnicas como ataques pass-the-hash para elevar sus privilegios al nivel de administrador. La banda también realiza una serie de acciones destinadas a eliminar las defensas cibernéticas, incluida la desactivación de protecciones, el cifrado de archivos críticos, como los discos de máquinas virtuales (VMDK) en una etapa temprana, y la eliminación de copias de seguridad para evitar la recuperación. Por lo general, agrega archivos cifrados con extensiones .FOG o .FLOCKED y, como la mayoría de las otras bandas, utiliza Tor para negociar con las víctimas. Ledesma dijo que actualmente no había una atribución directa a otros actores de amenazas establecidos, lo que sugiere que Fog probablemente se origina en un grupo nuevo y altamente capacitado. En el incidente al que respondió Adlumin, el equipo de investigación pudo rastrear la infiltración hasta un sistema desprotegido con direcciones IP originadas en Moscú, aunque esto no necesariamente puede probar su procedencia. Otros investigadores que monitorean Fog incluyen al equipo de Arctic Wolf, que observó una duración notablemente corta entre la intrusión inicial y el cifrado, lo que difiere de la práctica común en la mayoría de los escenarios de ransomware. En un análisis publicado a principios de junio, el equipo de Arctic Wolf dijo que «los actores de la amenaza parecen estar más interesados ​​en un pago rápido en lugar de exigir un ataque más complejo que involucre exfiltración de datos y un sitio de filtración de alto perfil», aunque debe notarse que la banda opera un sitio de filtración. Sin embargo, la observación de Arctic Wolf parece coincidir con la teoría de Adlumin de que la banda ahora está buscando objetivos más ricos en efectivo, habiéndose especializado anteriormente en atacar escuelas y universidades. Como tal, corresponde a los defensores de las empresas corporativas prestar atención a la creciente amenaza que plantea Fog y, en particular, centrarse en mantener una infraestructura de respaldo segura fuera del sitio, además de las políticas estándar de defensa en profundidad. El artículo completo de Ledesma para Adlumin, incluidos consejos más detallados sobre detección y remediación, se puede encontrar aquí.