Зловещий туман: вымогательская банда «Fog» активно терроризирует образовательные учреждения
NewsMakerЧем подход молодой группировки удивил исследователей безопасности?
Исследователи из компании Arctic Wolf обнаружили новую группу вымогателей «Fog» («Туман»), которая использует старомодные методы для быстрой прибыли, блокируя данные в виртуальных средах.
Группа «Fog» впервые была замечена 2 мая этого года, а уже к 23 мая она провела множество успешных атак: быстро проникала в системы, шифровала данные в виртуальных средах и оставляла записки с требованиями выкупа.
Атаки «Fog» обычно начинаются с использования украденных учётных данных виртуальных частных сетей ( VPN ). Этот способ в последнее время становится всё популярнее для доступа в крупные организации.
Группа уже использовала уязвимости двух различных поставщиков VPN-шлюзов, названия которых Arctic Wolf не раскрывает. В одном из случаев «Fog» использовала метод «pass the hash» для компрометации учётных записей администратора в сети цели. Затем группа установила подключение по протоколу удалённого рабочего стола ( RDP ) к серверам Windows, работающим с гипервизором Hyper-V и программным обеспечением Veeam для защиты данных.
К другим типичным методам «Fog» относятся перебор учётных данных, использование стандартных инструментов Windows и открытых источников, таких как Metasploit и PsExec, отключение Windows Defender и использование Tor для связи с жертвами.
В отличие от других групп вымогателей, «Fog» не эксфильтрирует данные, не имеет сайтов утечек и не занимается двойным или тройным вымогательством. Исследователи считают, что злоумышленники заинтересованы в быстром получении выкупа, а не в проведении более сложных атак.
До сих пор «Fog» нацеливалась исключительно на организации в США. Причём 80% от всех атак пришлось на образовательные учреждения, а оставшиеся 20% на индустрию развлечений.
Керри Шафер-Пейдж, вице-президент по реагированию на инциденты в Arctic Wolf, считает, что выбор образовательного сектора не случаен. «Образование часто недофинансировано и недостаточно оснащено в плане кибербезопасности. Во время летних каникул и при маленьких IT-отделах это идеальная возможность для атакующих», — поясняет Шафер-Пейдж.
Чтобы компенсировать эти недостатки, Шафер-Пейдж подчёркивает важность правильного управления учётными данными. «Сотрудники должны понимать, как управлять своими учётными данными. Злоумышленники ищут способ перемещаться по сети и повышать свои привилегии. Как только они добьются этого, они смогут получить доступ к самым ценным данным», — заключает эксперт.
Исследователи из компании Arctic Wolf обнаружили новую группу вымогателей «Fog» («Туман»), которая использует старомодные методы для быстрой прибыли, блокируя данные в виртуальных средах.
Группа «Fog» впервые была замечена 2 мая этого года, а уже к 23 мая она провела множество успешных атак: быстро проникала в системы, шифровала данные в виртуальных средах и оставляла записки с требованиями выкупа.
Атаки «Fog» обычно начинаются с использования украденных учётных данных виртуальных частных сетей ( VPN ). Этот способ в последнее время становится всё популярнее для доступа в крупные организации.
Группа уже использовала уязвимости двух различных поставщиков VPN-шлюзов, названия которых Arctic Wolf не раскрывает. В одном из случаев «Fog» использовала метод «pass the hash» для компрометации учётных записей администратора в сети цели. Затем группа установила подключение по протоколу удалённого рабочего стола ( RDP ) к серверам Windows, работающим с гипервизором Hyper-V и программным обеспечением Veeam для защиты данных.
К другим типичным методам «Fog» относятся перебор учётных данных, использование стандартных инструментов Windows и открытых источников, таких как Metasploit и PsExec, отключение Windows Defender и использование Tor для связи с жертвами.
В отличие от других групп вымогателей, «Fog» не эксфильтрирует данные, не имеет сайтов утечек и не занимается двойным или тройным вымогательством. Исследователи считают, что злоумышленники заинтересованы в быстром получении выкупа, а не в проведении более сложных атак.
До сих пор «Fog» нацеливалась исключительно на организации в США. Причём 80% от всех атак пришлось на образовательные учреждения, а оставшиеся 20% на индустрию развлечений.
Керри Шафер-Пейдж, вице-президент по реагированию на инциденты в Arctic Wolf, считает, что выбор образовательного сектора не случаен. «Образование часто недофинансировано и недостаточно оснащено в плане кибербезопасности. Во время летних каникул и при маленьких IT-отделах это идеальная возможность для атакующих», — поясняет Шафер-Пейдж.
Чтобы компенсировать эти недостатки, Шафер-Пейдж подчёркивает важность правильного управления учётными данными. «Сотрудники должны понимать, как управлять своими учётными данными. Злоумышленники ищут способ перемещаться по сети и повышать свои привилегии. Как только они добьются этого, они смогут получить доступ к самым ценным данным», — заключает эксперт.