| Neue Fog Ransomware nutzt laut Arctic Wolf kompromittierten VPN Zugang und schaltet den Windows Defender aus. | New Fog ransomware exploits compromised VPN access and disables Windows Defender. |
|---|---|
| Am 2. Mai 2024 begann Arctic Wolf Labs mit der Überwachung der Verbreitung einer neuen Ransomware-Variante namens Fog. Die Ransomware-Aktivität wurde in mehreren Incident Response-Fällen von Arctic Wolf beobachtet, die alle ähnliche Merkmale aufwiesen. Alle Opferorganisationen befanden sich in den Vereinigten Staaten, wobei 80 % aus dem Bildungssektor und 20 % aus dem Freizeitsektor stammten. Das Arctic Wolf Incident Response Team bezeichnet Fog als Ransomware-Variante und nicht als Gruppe, um zwischen den für die Erstellung der Verschlüsselungssoftware verantwortlichen Entitäten und denjenigen zu unterscheiden, die die Angriffe auf die Opfer über die Tastatur durchführen. Diese Unterscheidung ist wichtig, da Ransomware-Gruppen manchmal den Eindruck erwecken, eine einzige Gruppe zu sein, obwohl sie in Wirklichkeit aus unabhängigen Tochtergruppen bestehen. Derzeit ist die Organisationsstruktur der Gruppe(n), die für die Angriffe mit Fog-Ransomware verantwortlich ist (sind), unbekannt. In jedem der untersuchten Fälle wiesen forensische Beweise darauf hin, dass die Angreifer in der Lage waren, über kompromittierte VPN-Anmeldedaten auf die Umgebungen der Opfer zuzugreifen. Der Fernzugriff erfolgte über zwei verschiedene VPN-Gateway-Anbieter. Die letzte dokumentierte Bedrohungsaktivität fand am 23. Mai 2024 statt. In einem Fall wurden zu Beginn Pass-the-Hash-Aktivitäten gegen Administratorkonten beobachtet, die anschließend dazu verwendet wurden, RDP-Verbindungen zu Windows-Servern mit Hyper-V und Veeam herzustellen. In einem anderen Fall wurden Hinweise auf das Ausfüllen von Anmeldeinformationen bemerkt, was vermutlich laterale Bewegungen in der gesamten Umgebung erleichtert. In allen Fällen wurde PsExec auf mehreren Hosts verwendet, und der Zugriff auf die Zielhosts erfolgte über RDP/SMB. Auf Windows-Servern, mit denen die Bedrohungsakteure interagierten, wurde Windows Defender von den Bedrohungsakteuren deaktiviert. Die Bedrohungsakteure habenVMDK-Dateien im VM-Speicher verschlüsselt und Backups aus dem Objektspeicher von Veeam gelöscht. Die Bedrohungsakteure hinterließen Lösegeldnotizen auf den betroffenen Systemen und verwendeten in allen Fällen eine funktionell identische Ransomware-Nutzlast. Abgesehen von einem eindeutigen Chatcode waren die Erpresserbriefe identisch. Abgesehen von der .onion-Adresse, die für die Kommunikation zwischen dem Opfer und dem Bedrohungsakteur verwendet wurde, wurde keine zusätzliche Präsenz im Dark Web, wie z.B. eine Datenleck-Website, festgestellt. | On May 2, 2024, Arctic Wolf Labs began monitoring the spread of a new ransomware variant called Fog. The ransomware activity was observed in several Arctic Wolf incident response cases, all with similar characteristics. All of the victim organizations were located in the United States, with 80 percent in the education sector and 20 percent in the recreation sector. The Arctic Wolf Incident Response Team refers to Fog as a ransomware variant, rather than a group, to distinguish between the entities responsible for creating the encryption software and those who execute the attacks on victims via the keyboard. This distinction is important because ransomware groups sometimes give the impression of being a single group, when in fact they are made up of independent subgroups. Currently, the organizational structure of the group(s) responsible for the Fog ransomware attacks is unknown. In each of the cases investigated, forensic evidence indicated that the attackers were able to access the victims‘ environments via compromised VPN credentials. Remote access was gained through two different VPN gateway vendors. The last documented threat activity occurred on May 23, 2024. In one case, pass-the-hash activity was initially observed against administrator accounts, which were then used to establish RDP connections to Windows servers running Hyper-V and Veeam. In another case, there was evidence of credential stuffing, which is believed to have facilitated lateral movement throughout the environment. In all cases, PsExec was used on multiple hosts and the target hosts were accessed via RDP/SMB. Windows Defender was disabled by the threat actors on the Windows servers they interacted with. The threat actors encrypted VMDK files in VM memory and deleted backups from Veeam object storage. The threat actors left ransom notes on the affected systems and used a functionally identical ransomware payload in all cases. Aside from a unique chat code, the ransom notes were identical. Apart from the .onion address used for communication between the victim and the threat actor, no additional presence on the dark web, such as a data leak website, was detected. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de