Чем подход молодой группировки удивил исследователей безопасности?
Исследователи из компании Arctic Wolf обнаружили новую группу вымогателей «Fog» («Туман»), которая использует старомодные методы для быстрой прибыли, блокируя данные в виртуальных средах.
Группа «Fog» впервые была замечена 2 мая этого года, а уже к 23 мая она провела множество успешных атак: быстро проникала в системы, шифровала данные в виртуальных средах и оставляла записки с требованиями выкупа.
Атаки «Fog» обычно начинаются с использования украденных учётных данных виртуальных частных сетей (VPN). Этот способ в последнее время становится всё популярнее для доступа в крупные организации.
Группа уже использовала уязвимости двух различных поставщиков VPN-шлюзов, названия которых Arctic Wolf не раскрывает. В одном из случаев «Fog» использовала метод «pass the hash» для компрометации учётных записей администратора в сети цели. Затем группа установила подключение по протоколу удалённого рабочего стола (RDP) к серверам Windows, работающим с гипервизором Hyper-V и программным обеспечением Veeam для защиты данных.
К другим типичным методам «Fog» относятся перебор учётных данных, использование стандартных инструментов Windows и открытых источников, таких как Metasploit и PsExec, отключение Windows Defender и использование Tor для связи с жертвами.
В отличие от других групп вымогателей, «Fog» не эксфильтрирует данные, не имеет сайтов утечек и не занимается двойным или тройным вымогательством. Исследователи считают, что злоумышленники заинтересованы в быстром получении выкупа, а не в проведении более сложных атак.
До сих пор «Fog» нацеливалась исключительно на организации в США. Причём 80% от всех атак пришлось на образовательные учреждения, а оставшиеся 20% на индустрию развлечений.
Керри Шафер-Пейдж, вице-президент по реагированию на инциденты в Arctic Wolf, считает, что выбор образовательного сектора не случаен. «Образование часто недофинансировано и недостаточно оснащено в плане кибербезопасности. Во время летних каникул и при маленьких IT-отделах это идеальная возможность для атакующих», — поясняет Шафер-Пейдж.
Чтобы компенсировать эти недостатки, Шафер-Пейдж подчёркивает важность правильного управления учётными данными. «Сотрудники должны понимать, как управлять своими учётными данными. Злоумышленники ищут способ перемещаться по сети и повышать свои привилегии. Как только они добьются этого, они смогут получить доступ к самым ценным данным», — заключает эксперт.
Сбалансированная диета для серого вещества