Arctic Wolf Labs verfolgt seit Anfang Mai 2024 die Verbreitung einer neuen Ransomware-Variante namens Fog. In mehreren Fällen hat das Arctic Wolf Incident Response (IR)-Team eine Ransomware-Aktivität beobachtet, die ähnliche Merkmale aufwies. Alle betroffenen Organisationen befinden sich bis dato in den Vereinigten Staaten.
Zu Beginn eines der Fälle wurde sogenannte “Pass-the-Hash-Aktivität” gegen Administratorkonten beobachtet, die anschließend verwendet wurden, um RDP-Verbindungen zu Windows-Servern mit Hyper-V und Veeam herzustellen. In einem anderen Fall wurden Hinweise auf Credential Stuffing beobachtet, das vermutlich die laterale Bewegung in der Umgebung erleichterte. In allen Fällen wurde PsExec auf mehreren Hosts eingesetzt, und RDP/SMB wurden verwendet, um auf die Ziel-Hosts zuzugreifen.
Auf betroffenen Windows-Servern, wurde Windows Defender von den Bedrohungsakteuren deaktiviert. Es wurde beobachtet, dass die Akteure VMDK-Dateien im VM-Speicher verschlüsselten und Sicherungen aus dem Objektspeicher in Veeam löschten. Die Bedrohungsakteure hinterließen Erpresserbriefe auf den betroffenen Systemen und setzten in allen Fällen eine funktionell identische Ransomware-Nutzlast ein. Abgesehen von einem eindeutigen Chat-Code waren die Erpresserbriefe identisch. Außer der .onion-Adresse, die für die Kommunikation zwischen dem Opfer und dem Bedrohungsakteur verwendet wurde, konnte keine Präsenz im Dark Web beobachtet werden.
Angesichts der kurzen Dauer zwischen dem ersten Eindringen und der Verschlüsselung scheinen die Bedrohungsakteure mehr an einer schnellen Auszahlung interessiert zu sein, als an der Durchführung eines komplexeren Angriffs, der die Exfiltration von Daten und eine hochkarätige Leck-Website umfasst. Diese Hinweise, zusammen mit der bekannten Opferschaft, deuten darauf hin, dass die Bedrohungsakteure finanziell motiviert sind und hauptsächlich den Bildungssektor ins Visier nehmen.
Weiterführende Informationen zur neuen Ransomware-Variante finden Sie im Blog von Artic Wolf.