A mediados del 2024, se lanzó una nueva operación de ransomware llamada "The Fog" que utiliza credenciales de VPN comprometidas para las redes de organizaciones educativas estadounidenses. La niebla fue descubierta por Artic Wolf Labs, que informó que la operación de ransomware no creó un portal de ransomware ni observó el robo de datos.
Sin embargo, BleepingComputer puede confirmar que los grupos de ransomware están robando datos para lanzar ataques dobles de ransomware, utilizando los datos como palanca para asustar a las víctimas y obligarlas a pagar.
Los operadores del ransomware Fog ejecutaron una sofisticada operación de infiltración provenientes de al menos dos proveedores distintos de puertas de enlace VPN. Este enfoque estratégico les permitió superar las defensas perimetrales y obtener acceso inicial a los entornos críticos de diversas instituciones educativas.
Según los análisis forenses realizados por Artic Wolf Labs, se confirmó que los actores de amenazas explotaron activamente estas credenciales comprometidas para establecer conexiones remotas dentro de las redes comprometidas.
Específicamente, se identificó que el acceso remoto se llevó a cabo mediante el uso simultáneo de dos proveedores separados de puertas de enlace VPN, destacando la coordinación y la planificación meticulosa detrás de la operación.
Los operadores de Fog también emplearon técnicas de ingeniería social y phishing dirigido para obtener acceso inicial a las redes educativas.
Según los informes de seguridad, se observó que los atacantes enviaban correos electrónicos aparentemente legítimos a personal educativo y administrativo, solicitando la verificación de credenciales o la descarga de archivos adjuntos maliciosos.
Estas tácticas no solo facilitaron el robo de credenciales adicionales, sino que también aumentaron la complejidad y la eficacia de los ataques al combinar métodos de entrada múltiples. Una vez dentro de las redes comprometidas, los atacantes procedieron con rapidez para identificar y explotar vulnerabilidades dentro de los sistemas, utilizando herramientas y técnicas avanzadas para eludir detecciones y establecer persistencia en los entornos comprometidos.
Los operadores del ransomware Fog utilizan varias técnicas avanzadas para comprometer y cifrar los sistemas de las víctimas. Comienzan con el relleno de credenciales para secuestrar cuentas valiosas, seguido de la implementación de PsExec en múltiples hosts para propagar el ataque.
En los servidores Windows comprometidos, desactivan Windows Defender para evitar alertas prematuras antes de ejecutar el cifrado, Una vez que el ransomware se implementa, realiza llamadas a la API de Windows para recopilar información del sistema, como el número de procesadores lógicos disponibles, optimizando así la rutina de cifrado con múltiples subprocesos.
Previo al inicio del cifrado, el ransomware termina una lista predefinida de procesos y servicios, según lo codificado en su configuración.
El ransomware encripta específicamente archivos VMDK en el almacenamiento de máquinas virtuales (VM) y elimina las copias de seguridad almacenadas en objetos en Veeam, así como las instantáneas de volumen de Windows, dificultando la restauración de archivos desde fuentes alternativas.
Los archivos cifrados se renombran añadiéndoles la extensión '.FOG' o '.FLOCKED', configurable desde un bloque de configuración basado en JSON según las preferencias del operador.
Como parte del proceso, se genera una nota de rescate llamada readme.txt y se coloca en los directorios afectados, proporcionando instrucciones claras a las víctimas sobre cómo pagar por una clave de descifrado que permitirá la recuperación de sus archivos.
Según un ataque observado por BleepingComputer, esta nota de rescate incluye un enlace a un sitio web oscuro de Tor utilizado para la negociación. El sitio ofrece una interfaz de chat básica que permite a las víctimas del ransomware negociar el pago del rescate y obtener una lista de archivos que fueron comprometidos o robados durante el ataque.
Este enfoque meticuloso y multifacético del ransomware Fog subraya su capacidad para no solo cifrar datos críticos, sino también para deshabilitar medidas de seguridad y dificultar la recuperación de datos mediante la eliminación de opciones de restauración fácilmente accesibles por parte de las víctimas.
Un VPN, o Red Privada Virtual, es una tecnología que permite crear una conexión segura y encriptada entre un dispositivo (como una computadora, un teléfono o una tablet) y una red privada a través de Internet. Aquí te explico más sobre sus características, beneficios y consideraciones:
1. Seguridad y Privacidad: La principal ventaja de un VPN es la seguridad. Utiliza protocolos de encriptación para proteger los datos transmitidos entre el dispositivo y la red privada. Esto es especialmente en redes públicas Wi-Fi donde los datos pueden ser interceptados por terceros.
2. Acceso Remoto: Un VPN permite a los usuarios acceder de manera segura a recursos de una red privada desde cualquier ubicación. Esto es útil para empleados que necesitan trabajar desde casa o mientras viajan, sin comprometer la seguridad de la red corporativa.
3. Bypass de Restricciones Geográficas: Al cambiar tu dirección IP a la de otro país a través del VPN, puedes eludir las restricciones geográficas impuestas en algunos servicios y sitios web. Esto es común para ver contenido que está bloqueado en tu región.
4. Anonimato y Privacidad en Internet: Un VPN oculta tu dirección IP real y tu ubicación física, proporcionando cierto grado de anonimato al navegar por Internet. Esto dificulta que sitios web y servicios rastreen tu actividad en línea.
5. Velocidad y Rendimiento: Aunque un VPN puede proporcionar seguridad y privacidad, también puede reducir la velocidad de tu conexión, especialmente si la red VPN está congestionada o si la distancia física entre tu ubicación y el servidor VPN es grande.
6. Dependencia del Proveedor de VPN: La elección del proveedor de VPN es crucial, ya que confías en ellos para manejar tus datos de manera segura. Es importante seleccionar proveedores de confianza que tengan políticas claras de privacidad y no registren tus actividades en línea.
7. Compatibilidad y Configuración: Los VPN pueden ser compatibles con una variedad de dispositivos y sistemas operativos, pero la configuración inicial puede requerir conocimientos técnicos básicos. Muchos proveedores ofrecen aplicaciones fáciles de usar para simplificar el proceso.
.png)
