Entendendo o ransomware Fog: uma ameaça crescente

O que é o ransomware Fog?

O ransomware Fog é uma nova variante de ransomware detectada pela primeira vez em maio de 2024. Essa ameaça emergente de ransomware utiliza credenciais de VPN (Virtual Private Network, Rede Privada Virtual) comprometidas ou vulnerabilidades do sistema para obter acesso à rede de uma organização e criptografar dados rapidamente na tentativa de obter pagamentos rápidos.

Os ataques de Fog espelham os ataques tradicionais de ransomware, pois seguem o caminho de ataque padrão de enumeração, movimento lateral, criptografia e extorsão. No entanto, ao contrário da maioria dos ataques de ransomware, os primeiros incidentes do Fog não exfiltraram dados, indicando que os invasores provavelmente estavam interessados em um lucro rápido, em vez de uma operação mais complexa.

Os primeiros ataques de Fog também tiveram um escopo relativamente restrito, com os invasores visando organizações dos setores de educação e recreação nos Estados Unidos. A análise sugere que esses setores foram escolhidos devido às suas medidas de segurança relativamente fracas ou ao pequeno número de funcionários de segurança, o que facilitaria a atuação dos atores sem serem detectados.

Nos últimos meses, a variante Fog evoluiu. Os invasores agora estão utilizando técnicas mais sofisticadas para escalar privilégios e desativar medidas de segurança. Notavelmente, os ataques mais recentes demonstraram exfiltrar dados, permitindo que os invasores utilizem técnicas de "extorsão dupla", nas quais exigem um resgate para descriptografar os dados, bem como um pagamento secundário para não divulgar publicamente os dados exfiltrados.

Há também indícios de que novas variantes do Fog têm como alvo vítimas mais lucrativas, como organizações do setor de serviços financeiros. No entanto, isso ainda não foi confirmado. Por enquanto, parece que os invasores estão mais propensos a escolher vítimas de forma oportunista, o que aumenta o nível de risco para todos os setores.

A evolução e a mudança de alvos do Fog ressaltam a necessidade crítica de as organizações fortalecerem suas defesas de cibersegurança e abordarem as vulnerabilidades conhecidas para mitigar essa ameaça crescente e se protegerem contra futuras evoluções de ransomware.

Principais características do ransomware Fog

O ransomware Fog destaca-se de outras variantes de ransomware devido a duas características distintas:

1. Técnicas avançadas de criptografia

O ransomware Fog utiliza uma combinação de técnicas avançadas de criptografia para bloquear o acesso das vítimas aos seus dados. Alguns relatórios indicam que os invasores estão utilizando tanto algoritmos de criptografia simétrica, como o AES (Advanced Encryption Standard, Padrão de Criptografia Avançado), para criptografar dados de forma rápida e eficiente, quanto algoritmos assimétricos, como o RSA (Rivest-Shamir-Adleman), para fortalecer a criptografia. Essa combinação torna praticamente impossível para as organizações descriptografarem seus dados sem a chave ou sem identificar uma falha na execução.

2. Técnicas sofisticadas de evasão

O ransomware Fog também emprega táticas avançadas de evasão para contornar ferramentas de segurança e mecanismos de detecção tradicionais. Entre outros recursos, isso pode incluir:

• Execução sem arquivo: os ataques de Fog implementam código malicioso diretamente na memória. Isso permite que os invasores evitem deixar rastros de sua presença no disco, dificultando a detecção do ataque por ferramentas de segurança tradicionais durante varreduras de rotina.  
• Ofuscação de código: o malware Fog emprega técnicas de ofuscação de código para disfarçar seu objetivo e sua atividade. Isso dificulta para os sistemas de detecção baseados em assinaturas reconhecerem sua presença.
• Desativação de ferramentas de segurança: em ataques anteriores contra máquinas Windows, atores de Fog desativaram o Windows Defender e outros sistemas de segurança para evitar a detecção antes de implementar o ransomware.
• Utilização de processos legítimos: o ransomware Fog muitas vezes utiliza ferramentas legítimas do sistema, como o PowerShell ou o WMI (Windows Management Instrumentation). Isso permite que os invasores se disfarcem de usuários legítimos. Como muitas ferramentas de segurança tradicionais não estão equipadas para diferenciar entre usuários reais e maliciosos, pode ser difícil detectar a presença de um invasor de Fog com ferramentas de segurança padrão. 

Quem são os principais alvos dos ataques de Fog?

Os ataques iniciais do ransomware Fog tiveram como alvo organizações norte-americanas. Aproximadamente três quartos das vítimas pertenciam ao setor da educação, enquanto o restante atuava no setor de recreação.

Esses setores podem ter sido escolhidos porque as organizações nessas áreas tendem a ter operações de segurança com poucos recursos ou equipes de TI com poucos funcionários, o que as torna mais vulneráveis a ataques. Além disso, a natureza sazonal de suas operações pode ter tornado essas organizações alvos mais atraentes. Por exemplo, durante os meses de verão, escolas e instalações recreativas podem estar sobrecarregadas de atividades ou operando com capacidade reduzida, facilitando a atuação de invasores sem serem detectados.

À medida que o ransomware Fog continua a evoluir, suas estratégias de ataque estão se ampliando. Embora os primeiros ataques estivessem concentrados em setores específicos, os atores de ameaças agora parecem estar operando de forma oportunista, sem que um único setor se destaque como alvo principal. Essa mudança ressalta a importância de organizações de todos os setores fortalecerem suas defesas de cibersegurança para se protegerem contra as táticas cada vez mais abrangentes e em constante evolução do ransomware Fog.

Impacto do ransomware Fog nos setores

Sendo um dos empreendimentos mais lucrativos que um cibercriminoso pode realizar, o ransomware representa uma ameaça particularmente grave para organizações de todos os setores. 

O impacto do ransomware Fog é semelhante ao de outros ataques de ransomware. As organizações que são alvo de ataques enfrentam uma variedade de problemas potenciais, tanto primários quanto secundários, incluindo:

• Interrupção das operações diárias devido à criptografia de dados críticos ou confidenciais.
• Implicações financeiras, particularmente no que diz respeito ao pagamento dos resgates exigidos para recuperar o acesso a sistemas e dados criptografados.
• Perda de receita devido a tempo de inatividade operacional durante um ataque.
• Aumento da fiscalização regulatória ou possíveis multas caso seja constatada negligência nas práticas de cibersegurança.
• A erosão da confiança do cliente pode ter consequências a longo prazo na fidelidade à marca e na reputação corporativa.

Como o ransomware Fog opera

O ransomware Fog segue um ciclo de infecção com múltiplas etapas. Compreender cada etapa — desde o comprometimento inicial até a criptografia final dos arquivos — pode ajudar as organizações a detectar, responder e mitigar melhor o impacto de um ataque.

Apresentamos aqui uma visão geral do ciclo de infecção do ransomware Fog:

Etapa 1: Exploração e intrusão

Muitos ataques de ransomware Fog exploram uma vulnerabilidade, como uma aplicação de software não corrigida, para obter acesso ao sistema. Até o momento, a maioria dos ataques Fog parece ter como alvo vulnerabilidades específicas em aplicações VPN.  

Os invasores também podem explorar credenciais VPN fracas para obter acesso ao sistema. Essas informações podem ser obtidas por meio de roubo de credenciais ou compra de brokers de acesso inicial. O uso de credenciais de usuário legítimas permite que os invasores contornem as defesas da rede e obtenham acesso a ambientes visados.

Etapa 2: Movimento lateral

Após obter acesso inicial à rede, o invasor Fog frequentemente utiliza técnicas de pass-the-hash e/ou stuffing de credenciais para tentar expandir o acesso, escalar privilégios e acessar contas de administrador.

Durante essa fase, os invasores provavelmente também realizarão atividades preparatórias, como a enumeração do Active Directory ou o uso de ferramentas como o BloodHound, para analisar os direitos dos usuários e avançar no ataque. Essa atividade pode incluir compartilhamento de arquivos, enumeração e execução de varredura extensiva.

Neste momento, os invasores também podem utilizar ferramentas de acesso remoto, como o AnyDesk, para estabelecer comunicação de comando e controle. O uso de ferramentas legítimas dificulta a detecção de atores de ameaças e também acelera o cronograma do ataque, uma vez que os invasores não precisam construir e implementar seus próprios elementos de infraestrutura.

Etapa 3: Implantação e criptografia

Após obterem acesso, os invasores implementam o agente de ransomware. Como parte desse processo, eles desativarão medidas de segurança, como o Windows Defender.

A aplicação de ransomware criptografará os arquivos e excluirá os backups para impedir a recuperação. Na maioria das vezes, os invasores têm como alvo os arquivos de VMDK (Virtual Machine Disk, Disco de Máquina Virtual). Como parte desse processo, os invasores alteram os nomes dos arquivos com as extensões .FOG ou .FLOCKED, o que é um importante indicador de ataque.

Durante essa fase, os invasores também podem exfiltrar os dados afetados. Isso expõe a organização a uma dupla extorsão, já que ela pode precisar pagar um resgate para descriptografar os dados e fazer um ou mais pagamentos subsequentes para impedir a divulgação pública deles.

Etapa 4: Extorsão

Imediatamente após a Etapa 3, os invasores geralmente distribuem arquivos “readme.txt” pelas redes afetadas. Esses arquivos são notas de resgate, que contêm informações sobre o ransomware Fog, um resumo da atividade de criptografia realizada até aquele momento e, em muitos casos, um prazo para ação. As notas também incluirão instruções detalhadas sobre como colaborar com os invasores para pagar o resgate e resolver o problema. A comunicação geralmente é feita por meio de um link de suporte via chat. 

Exploits e vulnerabilidades comuns

Relatórios públicos indicam uma forte correlação entre intrusões do Fog e o uso da SonicWall SSL VPN, relatadas entre agosto e novembro de 2024.

Embora nenhuma vulnerabilidade específica tenha sido confirmada, especialistas suspeitam que os invasores possam estar explorando a CVE-2024-40766. A análise revelou que todos os dispositivos SonicWall com comprometimento envolvidos nesses ataques estavam executando versões antigas de firmware que não tinham correção para esse problema.

Ao mesmo tempo, os especialistas não descartam a possibilidade de que os invasores estejam obtendo credenciais de VPN por outros métodos, como por meio de brokers de dados ou ataques.

Prevenção de ataques de Fog

Para reduzir a probabilidade de um ataque de ransomware Fog, as organizações que utilizam a SonicWall SSL VPN devem garantir que estão usando a versão mais atualizada do software, que inclui uma correção para a vulnerabilidade CVE-2024-40766.

Detecção de ataques de Fog

As organizações também podem tomar medidas para reforçar as capacidades de detecção caso ocorra um ataque. Por exemplo, uma empresa de serviços financeiros conseguiu frustrar um ataque de Fog utilizando arquivos "isca". Isso permitiu que a empresa detectasse a atividade no início do ciclo de vida do ataque e isolasse as máquinas afetadas. 

Além disso, as equipes de segurança podem monitorar atividades suspeitas dentro do sistema. Por exemplo, a análise de ataques anteriores revela que todos os logins maliciosos em VPNs originaram de endereços IP associados a hosts de VPSs (Virtual Private Servers, Servidores Virtuais Privados). Isso proporciona uma oportunidade clara para detecção e isolamento precoces.

Melhores práticas para detecção e prevenção 

As empresas devem empregar uma gama abrangente de medidas, incluindo ferramentas avançadas de monitoramento, correção regular, treinamento de usuários e sistemas robustos de backup, para detectar e prevenir ataques de ransomware como o ransomware Fog.

Apresentamos aqui algumas etapas recomendadas para detectar o ransomware Fog logo no início da cadeia de ataque:

Implemente medidas de segurança proativas

• Utilize ferramentas avançadas de monitoramento, como sistemas de proteção de endpoints, que operam continuamente e empregam algoritmos avançados para detectar atividades suspeitas.
• Preste atenção a indicadores específicos, como logins de VPN incomuns de provedores de hospedagem inesperados e comportamentos comuns após um comprometimento, como tentativas de criptografia de arquivos.
• Incorpore inteligência de ameaças para se manter a par dos motivos, alvos e comportamentos de ataque dos atores de ameaças do ransomware Fog.

Mantenha um programa rigoroso de gerenciamento de correções

• Aplique correções em software regularmente para corrigir vulnerabilidades conhecidas e emergentes, especialmente em VPNs e outros sistemas de alto risco que invasores de Fog costumam explorar.
• Mantenha-se a par das notícias sobre cibersegurança para identificar e responder rapidamente a exploits recém-descobertos que estão sendo ou podem ser explorados durante os ataques de Fog.

Invista em treinamento de usuários e crie uma cultura de segurança

• Instrua os funcionários a reconhecerem tentativas de phishing e outras táticas de engenharia social que podem comprometer credenciais e abrir caminho para um ataque.
• Forneça treinamento contínuo para reforçar as boas práticas de segurança e a conscientização sobre as ameaças de ransomware. Assegure-se de que os funcionários conheçam os procedimentos corretos para relatar atividades suspeitas ou incomuns.

Implemente planos robustos de backup e recuperação de dados

• Realize backups frequentes e regulares para minimizar a possível perda de dados. Por exemplo, backups diários podem limitar o impacto de um ataque a apenas 24 horas, reduzindo significativamente a perda de dados.
• Armazene backups em vários dispositivos e em locais separados para redundância.
• Teste os sistemas de backup regularmente para garantir que os dados possam ser restaurados de forma rápida e eficaz em caso de ataque.

Quer saber mais sobre as melhores práticas para prevenir ataques de ransomware? Confira nosso artigo relacionado: Como prevenir ataques de ransomware: 10 dicas profissionais da CrowdStrike.

Como a CrowdStrike pode ajudar

As soluções de endpoint legadas não conseguem acompanhar o ritmo dos adversários e das ameaças de ransomware. É aí que entra a proteção contra ransomware da CrowdStrike. Ela ajuda as organizações a se defenderem contra o ransomware Fog ao usar a plataforma nativa de IA da CrowdStrike, o Falcon. Essa plataforma proporciona capacidades avançadas de defesa.

O Falcon Adversary OverWatch oferece investigação proativa de ameaças, orientada por inteligência, 24 horas por dia, 7 dias por semana. Essa investigação detecta e interrompe ataques sofisticados de ransomware, incluindo aqueles orquestrados por atores de RaaS. Exercícios personalizados, como Tabletop, Red Team/Blue Team e emulação de adversários, fortalecem ainda mais a segurança ao identificar lacunas na detecção e na resposta. Em conjunto, essas soluções garantem uma proteção abrangente contra as ameaças de ransomware em constante evolução.

Quer saber mais sobre como proteger sua organização contra o ransomware Fog e as mais recentes ameaças de cibersegurança? Entre em contato com a CrowdStrike para agendar uma demonstração e consultoria gratuitas. Em caso de ataque, a CrowdStrike oferece resposta a incidentes líder do setor para restabelecer a ordem rapidamente.