Οι χάκερς πίσω από το Fog ransomware χρησιμοποιούν ένα ασυνήθιστο σύνολο εργαλείων, το οποίο περιλαμβάνει εργαλεία ελέγχου ασφάλειας ανοιχτού κώδικα καθώς και νόμιμο λογισμικό παρακολούθησης εργαζομένων, όπως το Syteca.
Δείτε επίσης: Sensata Technologies: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Η επιχείρηση Fog ransomware παρατηρήθηκε για πρώτη φορά τον Μάιο του περασμένου έτους, όταν εκμεταλλεύτηκε παραβιασμένα διαπιστευτήρια VPN για να αποκτήσει πρόσβαση στα δίκτυα των θυμάτων.
Αφού παραβίασαν το σύστημα, οι δράστες χρησιμοποίησαν επιθέσεις τύπου “pass-the-hash” για να αποκτήσουν δικαιώματα διαχειριστή, απενεργοποίησαν το Windows Defender και κρυπτογράφησαν όλα τα αρχεία, συμπεριλαμβανομένων και των εικονικών μηχανών. Αργότερα, η ομάδα απειλής παρατηρήθηκε να εκμεταλλεύεται γνωστά (n-day) κενά ασφαλείας σε διακομιστές Veeam Backup & Replication (VBR), καθώς και σε τερματικά SonicWall SSL VPN.
Ερευνητές της Symantec και της ομάδας Carbon Black Threat Hunter ανακάλυψαν το ασυνήθιστο αυτό σύνολο εργαλείων κατά τη διάρκεια ανταπόκρισης σε περιστατικό τον περασμένο μήνα, σε χρηματοπιστωτικό οργανισμό στην Ασία.
Δείτε ακόμα: Η ransomware ομάδα Interlock πίσω από την επίθεση στο Kettering Health;
Η Symantec δεν κατάφερε να εντοπίσει με βεβαιότητα τον αρχικό τρόπο μόλυνσης του Fog ransomware, αλλά κατέγραψε τη χρήση πολλών νέων εργαλείων που δεν είχαν ξαναπαρατηρηθεί σε αντίστοιχες επιθέσεις.
Το πιο ασυνήθιστο και ενδιαφέρον από αυτά είναι το Syteca (πρώην Ekran), ένα νόμιμο λογισμικό παρακολούθησης εργαζομένων που καταγράφει δραστηριότητα οθόνης και πληκτρολογήσεις. Οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν το εργαλείο για να συλλέξουν πληροφορίες όπως διαπιστευτήρια λογαριασμών, τα οποία πληκτρολογούσαν οι υπάλληλοι χωρίς να γνωρίζουν ότι παρακολουθούνται εξ αποστάσεως.
Το Syteca εγκαταστάθηκε με διακριτικό τρόπο στο σύστημα μέσω του Stowaway, ενός εργαλείου ανοιχτού κώδικα για κρυφή επικοινωνία και μεταφορά αρχείων και εκτελέστηκε μέσω του SMBExec, του αντίστοιχου του PsExec στο πλαίσιο Impacket, που χρησιμοποιείται για πλευρική κίνηση εντός δικτύου. Για να προετοιμάσουν τα δεδομένα προς εξαγωγή και να τα μεταφέρουν στη δική τους υποδομή, οι επιτιθέμενοι πίσω από το Fog ransomware χρησιμοποίησαν επίσης τα εργαλεία 7-Zip, MegaSync και FreeFileSync.
Δείτε επίσης: FBI: Το Play ransomware έχει παραβιάσει 900 οργανισμούς
Βασισμένο στα παραπάνω, ένα κρίσιμο συμπέρασμα είναι ότι οι επιτιθέμενοι πίσω από το Fog ransomware δεν βασίζονται αποκλειστικά σε παραδοσιακά κακόβουλα λογισμικά, αλλά αξιοποιούν νόμιμα εργαλεία, κάτι που καθιστά την ανίχνευσή τους ιδιαίτερα δύσκολη. Επιπλέον, η χρήση του Stowaway και του SMBExec υποδεικνύει ότι οι δράστες διαθέτουν προχωρημένες γνώσεις επιθέσεων εντός δικτύου και μετακίνησης μεταξύ συστημάτων (lateral movement), κάτι που παραπέμπει σε οργανωμένες και στοχευμένες επιθέσεις με πιθανό στόχο την κατασκοπεία ή τον εκβιασμό μέσω κρυπτογράφησης δεδομένων.
Πηγή: bleepingcomputer
