Спецпроекты

Безопасность

Шифровальная банда атакует серверы через взломанные VPN

Группировка, получившая название Fog, использует краденые реквизиты доступа к VPN-шлюзам для установки шифровальщика в среды виртуализации в образовательных учреждениях, после чего требуют огромный выкуп.

Туман-туманище

Эксперты компании Artic Wolf Labs обнаружили ранние признаки разворачивающейся вымогательской кампании, нацеленной на образовательный сектор США.

С конца мая злоумышленники используют краденые реквизиты доступа по VPN для проникновения в сети образовательных организаций и установки шифровальщиков. Кампания получила условное наименование Fog («Туман»).

Хотя злоумышленники ещё, судя по всему, не создали портал утечек, они уже активно шантажируют пострадавшие учреждения, требуя двойной выкуп - и за ключ расшифровки, и за сохранение конфиденциальности украденной информации.

Хакеры атакуют образовательные учреждения в США, потому что их проще заставить платить

Операторы Fog использовали скомпрометированные учётные данные к шлюзам VPN как минимум от двух разных вендоров. Последняя задокументированная атака датирована 23 мая 2024 г.

Получив первичный доступ во внутренние системы целевой организации, злоумышленники с помощью украденных реквизитов (хэшей) создают новые пользовательские сессии и через них устанавливают RDP-соединения с серверами под Windows, на которых работают гипервизоры систем виртуализации Hyper-V.

Иногда также производится перебор возможных комбинаций логинов и паролей. В случае успеха злоумышленники загружают на множество хостов утилиту для установки удалённого контроля PsExec.

На серверах Windows операторы Fog отключают Windows Defender и запускают шифровальщик.

Вредонос сначала производит запросы к Windows API, чтобы собрать данные о системе, - в частности, о количестве логических процессов. От этих сведений зависит количество потоков, которые запустит шифровальщик.

Кроме того, вредонос останавливает целый ряд процессов и служб, список которых встроен в его код.

Выкуп требуется огромный

Шифрованию подвергаются все файлы VMDK в хранилище виртуальной машины; кроме того, вредонос удаляет все резервные копии Veeam и теневые тома Windows, чтобы предотвратить восстановление данных.

Как правило, к расширению зашифрованных файлов добавляется слово FOG или .FLOCKED, хотя панель управления позволяет задавать любые расширения.

Как пишет издание Bleeping Computer, его специалистам удалось пронаблюдать атаку во всех подробностях и даже выйти на связь со злоумышленниками.

Те потребовали сотни тысяч долларов за декриптор и удаление украденных данных. Скорее всего, чем крупнее атакованная организация, тем выше требования выкупа.

«Образовательные учреждения по определению работают с персональными данными. За небрежное отношение к ним в США полагаются серьёзные санкции, и именно поэтому злоумышленники с особенной охотой атакуют образовательный сегмент: проще заставить платить», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.

Эксперт добавила, что защищённость инфраструктуры образовательных учреждений в среднем не вызывает воодушевления: известия об успешных атаках на школы и университеты поступают регулярно.

Эксперты Arctic Wolf отметили, что пока не могут определить, является ли Fog - RaaS-сервисом, то есть, сдаёт ли свои «мощности» сторонним злоумышленникам, или же его операторы работают самостоятельно.

Роман Георгиев

Короткая ссылка