新型 Fog 勒索软件威胁网络空间

在日益复杂的网络威胁格局中，2024 年出现了一种名为雾(Fog) 勒索软件的新型勒索软件，该软件于今年春季开始传播。

该恶意软件因其复杂性和先进的攻击方法而引起特别关注。它最初在美国发现，主要影响教育部门，但旅行、金融和制造业也受到攻击。

身份不明的雾勒索软件运营者似乎是出于经济动机，采用双重勒索技术，从而增加了受害者支付赎金的压力。

漏洞访问和利用技术

雾勒索软件利用的第一个入口点通常是受损的 VPN 凭据。最近，Fog 背后的网络犯罪分子展示了对SonicOS（SonicWall 设备管理界面）中已知漏洞的利用，该漏洞被识别为CVE-2024-40766。

过时设备中存在的这一安全缺陷使攻击者能够获得对网络的特权访问权限，从而启动攻击链。

在许多情况下，攻击者还会利用Veeam Backup & Replication 中的CVE-2024-40711漏洞，利用可能允许远程执行代码的缺陷，从而放大危害企业网络的可能性。

Arctic Wolf 研究人员称，至少 30 起与 SonicWall VPN 帐户相关的入侵是在 Akira 和 Fog 勒索软件的帮助下进行的，这表明两个组织之间可能存在合作或基础设施重叠。

Sophos 专家还发现了与 Akira 和 Fog 运营商使用的基础设施相关的线索，突显了各个网络犯罪行为者之间日益专业化和相互联系。

使用的攻击策略和方法

一旦获得访问权限，Fog Ransomware 就会快速加密文件。攻击者实施哈希传递攻击以获得提升的权限并禁用安全软件。使用vssadmin.exe命令删除卷影副本并禁用 Windows Defender 等服务是操作员执行的首要操作之一。

VMware ESXi 系统也是该勒索软件的目标：扩展名为“.vmdk”的文件包含关键虚拟机数据，这些文件经过加密，会中断服务并导致业务运营严重中断。

为了绘制环境图并获取有用信息，Fog Ransomware 操作者使用Advanced Port Scanner、NLTest 和 AdFind等识别工具，这些工具使他们能够收集有关网络中存在的系统和服务的数据。

为了确保网络上的持久性，恶意软件创建新的用户帐户并使用反向 SSH shell。此外，使用Metasploit 和 PsExec允许攻击者执行枚举任务并在受感染的环境中保持访问。

数据提取和加密阶段

在攻击的最后阶段，Fog Ransomware 会执行数据泄露，将窃取的文件上传到MEGA存储服务，该服务通常用于存储泄露的信息。

加密系统上的文件具有“.FOG”或“.FLOCKED”扩展名，并且受加密影响的每个目录中都会放置一张勒索字条。该说明警告攻击的受害者，具体说明攻击者的要求，并威胁如果不支付赎金，将披露敏感数据。

双重勒索是现代勒索软件中常见的一种手段，它代表了一种心理压力技术：如果受害者拒绝付款，不仅无法恢复加密数据，而且还面临机密信息被公开传播的风险，从而危及安全及企业声誉。

防御和预防措施建议

为了保护自己免受雾勒索软件的侵害，组织应实施预防措施并持续监控。主要建议包括：

• 更新系统：确保 VPN 系统、备份设备和关键软件使用最新的安全补丁进行更新，从而降低可利用漏洞的风险。

• 网络活动监控：定期检查日志是否存在可疑活动，例如异常数据传输或通过 VPN 进行未经授权的访问。

• 网络分段：实施适当的网络分段以限制潜在攻击者的横向移动。

• 安全备份：将备份副本保存在隔离位置，并通过多重身份验证来保护它们以防止泄露。

Fog勒索软件的出现再次凸显了组织机构保持高度警惕、加强防御的必要性。

随着不同网络犯罪行为者之间相互联系的增加以及先进勒索方法的采用，及时了解新威胁并实施强大且最新的安全协议至关重要。