Поделиться
Шифровальная банда атакует серверы через взломанные VPN
Группировка, получившая название Fog, использует краденые реквизиты доступа к VPN-шлюзам для установки шифровальщика в среды виртуализации в образовательных учреждениях, после чего требуют огромный выкуп.
Туман-туманище
Эксперты компании Artic Wolf Labs обнаружили ранние признаки разворачивающейся вымогательской кампании, нацеленной на образовательный сектор США.
С конца мая злоумышленники используют краденые реквизиты доступа по VPN для проникновения в сети образовательных организаций и установки шифровальщиков. Кампания получила условное наименование Fog («Туман»).
Хотя злоумышленники ещё, судя по всему, не создали портал утечек, они уже активно шантажируют пострадавшие учреждения, требуя двойной выкуп - и за ключ расшифровки, и за сохранение конфиденциальности украденной информации.
Операторы Fog использовали скомпрометированные учётные данные к шлюзам VPN как минимум от двух разных вендоров. Последняя задокументированная атака датирована 23 мая 2024 г.
Получив первичный доступ во внутренние системы целевой организации, злоумышленники с помощью украденных реквизитов (хэшей) создают новые пользовательские сессии и через них устанавливают RDP-соединения с серверами под Windows, на которых работают гипервизоры систем виртуализации Hyper-V.
Иногда также производится перебор возможных комбинаций логинов и паролей. В случае успеха злоумышленники загружают на множество хостов утилиту для установки удалённого контроля PsExec.
На серверах Windows операторы Fog отключают Windows Defender и запускают шифровальщик.
Вредонос сначала производит запросы к Windows API, чтобы собрать данные о системе, - в частности, о количестве логических процессов. От этих сведений зависит количество потоков, которые запустит шифровальщик.
Кроме того, вредонос останавливает целый ряд процессов и служб, список которых встроен в его код.
Выкуп требуется огромный
Шифрованию подвергаются все файлы VMDK в хранилище виртуальной машины; кроме того, вредонос удаляет все резервные копии Veeam и теневые тома Windows, чтобы предотвратить восстановление данных.
Как правило, к расширению зашифрованных файлов добавляется слово FOG или .FLOCKED, хотя панель управления позволяет задавать любые расширения.
Как пишет издание Bleeping Computer, его специалистам удалось пронаблюдать атаку во всех подробностях и даже выйти на связь со злоумышленниками.
Те потребовали сотни тысяч долларов за декриптор и удаление украденных данных. Скорее всего, чем крупнее атакованная организация, тем выше требования выкупа.
«Образовательные учреждения по определению работают с персональными данными. За небрежное отношение к ним в США полагаются серьёзные санкции, и именно поэтому злоумышленники с особенной охотой атакуют образовательный сегмент: проще заставить платить», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.
Эксперт добавила, что защищённость инфраструктуры образовательных учреждений в среднем не вызывает воодушевления: известия об успешных атаках на школы и университеты поступают регулярно.
Эксперты Arctic Wolf отметили, что пока не могут определить, является ли Fog - RaaS-сервисом, то есть, сдаёт ли свои «мощности» сторонним злоумышленникам, или же его операторы работают самостоятельно.
Поделиться
Короткая ссылка
