Acerca del ransomware Fog: una amenaza cada vez mayor

¿Qué es el ransomware Fog?

El ransomware Fog es una nueva variante de ransomware detectada por primera vez en mayo de 2024. Esta amenaza emergente de ransomware utiliza credenciales comprometidas de red privada virtual (VPN) o vulnerabilidades del sistema para acceder a la red de una organización y cifrar rápidamente los datos con la intención de recibir el pago del rescate cuanto antes.

Los ataques de Fog son muy similares a los típicos de ransomware porque siguen el proceso estándar: enumeración, movimiento lateral, cifrado y extorsión. Sin embargo, a diferencia de la mayoría de los ataques de ransomware, con los primeros incidentes de Fog no se exfiltraron datos, lo que indica que a los ciberdelincuentes probablemente les interesaba recibir un pago rápido, y no tanto llevar a cabo una operación más compleja.

Los primeros ataques de Fog también tuvieron un alcance relativamente limitado, pues los ciberdelincuentes los lanzaron contra organizaciones de los sectores educativo y recreativo de Estados Unidos. Los análisis revelan que eligieron estos sectores porque se aplican medidas de seguridad relativamente débiles o porque el personal de seguridad es reducido, lo que facilitaría que los atacantes pasaran desapercibidos.

En los últimos meses, la variante Fog ha evolucionado. Los ciberdelincuentes están utilizando técnicas más sofisticadas de elevación de privilegios y desactivación de medidas de seguridad. Lo más destacable es que, en los ataques más recientes, sí se exfiltran datos. Esto permite a los ciberdelincuentes aplicar técnicas de "doble extorsión", con las que exigen un rescate para descifrar los datos, así como un pago secundario para no hacer públicos los datos exfiltrados.

También hay pruebas de que las nuevas variantes de Fog se dirigen contra víctimas más lucrativas, como organizaciones del sector de los servicios financieros. Sin embargo, esto no se ha confirmado. Por ahora, parece que los atacantes son más propensos a elegir víctimas de forma oportunista, lo que eleva el perfil de riesgo para todos los sectores.

La evolución y los cambios en los objetivos de Fog subrayan la necesidad crítica de que las organizaciones refuercen las medidas de ciberseguridad y aborden las vulnerabilidades conocidas para mitigar esta amenaza, que es cada vez mayor, y protegerse frente a futuras evoluciones de ransomware.

Características clave del ransomware Fog

El ransomware Fog se diferencia de otras variantes por dos características distintivas:

1. Técnicas avanzadas de cifrado

El ransomware Fog emplea una combinación de técnicas avanzadas de cifrado para impedir que las víctimas accedan a sus datos. Algunos informes indican que los ciberdelincuentes están aprovechando algoritmos de cifrado simétrico, como el Estándar de cifrado avanzado (AES) para cifrar datos de forma rápida y eficiente, y asimétrico, como Rivest, Shamir y Adleman (RSA) para reforzar el cifrado. Gracias a esta combinación, a las organizaciones les resulta prácticamente imposible descifrar sus datos sin la clave o sin identificar un fallo en la ejecución.

2. Técnicas sofisticadas de evasión

El ransomware Fog también emplea tácticas avanzadas de evasión para eludir las herramientas de seguridad y los mecanismos de detección tradicionales. Algunas de ellas son:

• Ejecución sin archivos: Los ataques de Fog implementan código malicioso directamente en la memoria. Así, los ciberdelincuentes no dejan rastro de su presencia en el disco, lo cual dificulta que las herramientas de seguridad tradicionales detecten el ataque durante los análisis rutinarios.  
• Ofuscación de código: El malware Fog aplica técnicas de ofuscación de código para camuflar su propósito y actividad. Esto dificulta que los sistemas de detección basados en firma reconozcan su presencia.
• Desactivación de herramientas de seguridad: En ataques de Fog anteriores contra equipos con Windows, los atacantes desactivaron Windows Defender y otros sistemas de seguridad para que no los detectaran antes de implementar el ransomware.
• Uso de procesos legítimos: El ransomware Fog utiliza con frecuencia herramientas legítimas del sistema, como PowerShell o el instrumental de administración de Windows (WMI), para que los atacantes se hagan pasar por usuarios legítimos. Dado que muchas herramientas de seguridad tradicionales no están equipadas para diferenciar entre usuarios reales y maliciosos, puede ser complicado que detecten la presencia de un ciberdelincuente que lance un ataque de Fog. 

¿Quiénes son los principales objetivos de los ataques de Fog?

Al principio, los ataques de ransomware Fog se lanzaron contra organizaciones de Estados Unidos. Aproximadamente tres cuartas partes de las víctimas pertenecían al sector educativo, el cuarto restante al sector recreativo.

Puede que estos sectores se eligieran porque, en las organizaciones de esos ámbitos, las operaciones de seguridad suelen carecer de mucha financiación y los equipos de TI suelen tener poco personal, con lo que son más vulnerables ante los ataques. Además, la naturaleza estacional de sus operaciones puede ser la causa de que estas organizaciones fueran objetivos más atractivos. Por ejemplo, durante los meses de verano, los centros educativos y las instalaciones recreativas pueden verse saturadas de actividad o funcionar con capacidades reducidas. Esto facilita que los atacantes actúen sin ser detectados.

A medida que el ransomware Fog evoluciona, los objetivos de sus ataques se amplían. Aunque los primeros se concentraron en sectores específicos, los atacantes ahora parecen actuar de forma oportunista, y ningún sector parece ser el objetivo principal. Este cambio subraya la importancia de que las organizaciones de todos los sectores refuercen sus mecanismos de ciberseguridad para protegerse frente a la expansión y la evolución de las tácticas del ransomware Fog.

Impacto del ransomware Fog en los sectores

Dado que el ransomware es una de las líneas de acción más rentables para los ciberdelincuentes, representa una amenaza especialmente importante para organizaciones de todos los sectores. 

El impacto del ransomware Fog es similar al de otros ataques de ransomware. Las organizaciones que los sufren se enfrentan a una variedad de posibles problemas primarios y secundarios; por ejemplo:

• Interrupción de las operaciones diarias debido al cifrado de datos críticos o confidenciales
• Implicaciones financieras, especialmente en lo que respecta al pago del rescate para recuperar el acceso a sistemas y datos cifrados
• Pérdida de ingresos debido a la inactividad operativa durante un ataque
• Mayor escrutinio regulatorio o posibles multas si se detectan negligencias en las prácticas de ciberseguridad
• Erosión de la confianza del cliente, que puede tener repercusiones a largo plazo en la lealtad a la marca y la reputación corporativa

Cómo funciona el ransomware Fog

El ciclo de infección del ransomware Fog se compone de varias fases. Conocer cada una de ellas, desde el compromiso inicial hasta el cifrado final de los archivos, puede ayudar a las organizaciones a detectar, responder y mitigar mejor el impacto de un ataque.

A continuación, se proporciona un resumen del ciclo infección del ransomware Fog:

Fase 1: Explotación e intrusión

Muchos ataques del ransomware Fog explotan una vulnerabilidad, como una aplicación de software sin los parches adecuados, para acceder al sistema. Hasta la fecha, la mayoría de los ataques de Fog parecen aprovechar puntos débiles específicos de las aplicaciones de VPN.  

Los atacantes también pueden sacar partido a una credencial de VPN débil para acceder al sistema. Esta información puede obtenerse mediante robo de credenciales o compra a intermediarios de acceso inicial. El uso de credenciales legítimas permite a los ciberdelincuentes eludir las defensas de la red y acceder a entornos objetivo.

Fase 2: Movimiento lateral

Una vez que los ciberdelincuentes han usado Fog para lograr el acceso inicial a la red, suelen aplicar técnicas pass-the-hash o de inserción de credenciales para intentar ampliar el acceso, elevar privilegios y acceder a cuentas de administrador.

Durante esta fase, es probable que los atacantes también preparen el terreno, con técnicas como la enumeración de Active Directory o herramientas como BloodHound, para analizar los derechos de los usuarios y continuar el ataque. Esta actividad puede incluir el intercambio de archivos, la enumeración y un análisis exhaustivo.

En este momento, los ciberdelincuentes también pueden usar herramientas de acceso remoto, como AnyDesk, para establecer comunicación de mando y control. El uso de herramientas legítimas dificulta la detección de los atacantes y acelera el ataque, ya que los ciberdelincuentes no necesitan crear ni implementar sus propios elementos de infraestructura.

Fase 3: Implementación y cifrado

Una vez que los ciberdelincuentes han logrado acceder, implementan el agente de ransomware. Como parte de este proceso, desactivan medidas de seguridad como Windows Defender.

Después, la aplicación de ransomware cifra los archivos y elimina las copias de seguridad para evitar la recuperación. Normalmente, los ciberdelincuentes atacan los archivos de disco de máquina virtual (VMDK). Durante este proceso, los atacantes modificarán los nombres de archivo con las extensiones .FOG o .FLOCKED, que son un indicador importante de ataque.

En esta fase, los ciberdelincuentes también pueden exfiltrar los datos afectados. Esto expone a la organización a una doble extorsión, ya que puede que tenga que pagar un rescate para descifrar los datos y realizar uno o varios pagos posteriores para evitar que esos datos se hagan públicos.

Fase 4: Extorsión

Inmediatamente después de la fase 3, los atacantes suelen distribuir archivos llamados "readme.txt" en las redes afectadas. Estas son notas de rescate que contienen información sobre el ransomware Fog, un resumen de la actividad de cifrado que se ha producido hasta el momento y, en muchos casos, un plazo para actuar. Las notas también incluyen instrucciones detalladas sobre cómo colaborar con los ciberdelincuentes para pagar el rescate y resolver el problema. Esta comunicación suele realizarse a través de un enlace de un chat de asistencia. 

Exploits y vulnerabilidades comunes

Existen informes públicos que revelan una alta correlación entre las intrusiones de Fog y la VPN SSL de SonicWall desde agosto hasta noviembre de 2024.

Aunque no se ha confirmado que haya ninguna vulnerabilidad específica, los expertos sospechan que los ciberdelincuentes podrían estar explotando CVE-2024-40766. Según el análisis, en todos los dispositivos SonicWall comprometidos en estos ataques se ejecutaban versiones antiguas de firmware sin parches que resolvieran este problema.

Al mismo tiempo, los expertos no descartan la posibilidad de que los ciberdelincuentes estén obteniendo credenciales VPN por otros medios, como a través de brechas o intermediarios de datos.

Prevención de ataques de Fog

Para reducir la probabilidad de sufrir un ataque del ransomware Fog, las organizaciones en las que se use la VPN SSL de SonicWall deben utilizar la versión más actualizada del software, que incluye un parche para CVE-2024-40766.

Detección de ataques de Fog

Las organizaciones también pueden tomar medidas para reforzar las capacidades de detección en caso de que se produzca una brecha. Por ejemplo, una empresa de servicios financieros logró frustrar un ataque de Fog aprovechando archivos de "señuelo". Así, la empresa pudo detectar la actividad al principio del ciclo del ataque y aislar las máquinas afectadas. 

Además, los equipos de seguridad pueden monitorizar el sistema para detectar actividad sospechosa. Por ejemplo, el análisis de ataques pasados revela que todos los inicios de sesión maliciosos en la VPN procedieron de direcciones IP asociadas a hosts de servidores privados virtuales (VPS). Esto ofrece una buena oportunidad de detección y aislamiento en fases iniciales de ataque.

Prácticas recomendadas de detección y prevención 

Para detectar y prevenir eficazmente los ataques de ransomware, como los de Fog, las empresas deben tomar una completa serie de medidas; por ejemplo, adoptar herramientas avanzadas de monitorización, aplicar parches con frecuencia, formar a los usuarios y establecer sistemas sólidos de copias de seguridad.

Aquí ofrecemos algunos pasos recomendados para detectar el ransomware Fog al principio de la cadena de ataque:

Desplegar medidas de seguridad proactivas

• Utiliza herramientas avanzadas de monitorización, como sistemas de protección de endpoints, que funcionan de forma continua y emplean algoritmos avanzados para detectar actividades sospechosas.
• Presta atención a indicadores específicos, como inicios de sesión inusuales en la VPN de proveedores de alojamiento inesperados y comportamientos comunes tras el compromiso de datos, como intentos de cifrar archivos.
• Incorpora la inteligencia de amenazas para estar al día sobre las motivaciones, los objetivos y los comportamientos de ataque de los atacantes del ransomware Fog.

Mantener un riguroso programa de gestión de parches

• Aplica parches al software con frecuencia para abordar vulnerabilidades conocidas y emergentes, especialmente las que afectan a las VPN y otros sistemas de alto riesgo que los ciberdelincuentes han explotado a través de Fog.
• Infórmate acerca de las novedades de ciberseguridad para identificar y responder rápidamente a los nuevos exploits descubiertos que se aprovechan o podrían aprovecharse en los ataques de Fog.

Invierte en formar a los usuarios y fomentar una cultura de seguridad.

• Los empleados deben saber cómo reconocer los intentos de phishing y otras tácticas de ingeniería social que podrían comprometer credenciales y allanar el camino a un ataque.
• Proporciona formación continua para reforzar las buenas prácticas de seguridad y concienciar acerca de las amenazas de ransomware. Asegúrate de que los empleados conozcan los pasos adecuados que deben seguir para informar de actividades sospechosas o inusuales.

Implementar planes robustos de copia de seguridad y recuperación de datos

• Realiza copias de seguridad con frecuencia y sistematicidad para minimizar la posible pérdida de datos. Por ejemplo, las copias de seguridad diarias pueden limitar el impacto de un ataque a tan solo 24 horas y reducir considerablemente la pérdida de datos.
• Guarda copias de seguridad en varios dispositivos y en ubicaciones separadas para reducir la redundancia.
• Pon a prueba los sistemas de copia de seguridad periódicamente para comprobar que los datos puedan restaurarse rápida y eficazmente en caso de ataque.

¿Quieres conocer más prácticas recomendadas para prevenir ataques de ransomware? Consulta nuestro artículo relacionado: How to prevent ransomware: 10 pro tips from CrowdStrike (Cómo evitar el ransomware: 10 consejos profesionales de CrowdStrike).

Cómo puede ayudarte CrowdStrike

Las soluciones tradicionales para endpoints no pueden seguir el ritmo de los adversarios y las amenazas de ransomware. Ahí es donde entra la protección contra ransomware de CrowdStrike, que ayuda a las organizaciones a defenderse contra el ransomware Fog gracias a la plataforma CrowdStrike Falcon®, con IA nativa, y sus avanzadas capacidades de defensa.

Falcon Adversary OverWatch ofrece un Threat Hunting continuo, proactivo y basado en inteligencia para detectar y detener ataques sofisticados de ransomware, incluidos los orquestados por atacantes que usan ransomware como servicio (RaaS). Los ejercicios personalizados, los de simulación teórica, equipo rojo/equipo azul y emulación del adversario refuerzan aún más la seguridad al identificar brechas en la estrategia de detección y respuesta. En conjunto, estas soluciones garantizan una protección integral frente a las amenazas de ransomware, en evolución constante.

¿Quieres más información sobre cómo proteger a tu organización del ransomware Fog y las últimas amenazas de ciberseguridad? Contacta con CrowdStrike para concertar una demo y una consulta gratuitas. En caso de que se produzca una brecha, CrowdStrike ofrece una respuesta a incidentes líder en el sector para restablecer rápidamente el orden.