وقد لوحظ أن طاقم Fog ransomware يزيد من حجم الهجمات ويستهدف قطاعات جديدة أكثر ربحية في بحث لا ينتهي عن الدفع، وقد يكون في طريقه إلى أن يصبح أحد منظمات الجرائم الإلكترونية الأكثر شهرة، وفقًا للمعلومات الاستخباراتية التي نشرها المستجيبون للحوادث في أدلومين.
في الشهر الماضي، ساعد فريق الاستجابة للحوادث في Adlumin شركة خدمات مالية أمريكية متوسطة الحجم لم يتم الكشف عن اسمها في محاولة لشن هجوم Fog ransomware – والذي تم إحباطه لحسن الحظ – والذي استهدف بياناتها على نقاط النهاية التي تعمل بنظامي التشغيل Windows وLinux.
ولم تسفر هذه الحادثة عن أي نتيجة بفضل تقنية شركة Adlumin، التي تتضمن ملفات “وهمية”، تُستخدم للكشف عن نشاط برامج الفدية في الشبكة قبل تنفيذها. وتم عزل الأجهزة المصابة وإغلاق الباب أمام المهاجمين في غضون دقائق.
وقال ويل ليديسما، المدير الأول لقسم الكشف والاستجابة المدارة في شركة أدلومين، إن الهجوم كان جديرًا بالملاحظة إلى حد ما، حيث استهدف شركة خدمات مالية، وهو ما يمثل انحرافًا عن ملف الضحية التقليدي لطاقم فوج.
“إن مجموعة Fog Ransomware، التي كان يُلاحظ تاريخيًا أنها تهاجم المنظمات في قطاعي التعليم والترفيه فقط، تسعى الآن إلى أهداف أكثر ربحية في قطاع الخدمات المالية”، كما كتب.
يعد Fog أحد أشكال عائلة برامج الفدية STOP/DJVU التي يعود تاريخها إلى ما يقرب من ثلاث سنوات، ويميل إلى بدء هجماته باستخدام بيانات اعتماد VPN المخترقة لاختراق دفاعات الشبكة. وبمجرد دخوله إلى بيئة الضحية، يستخدم تقنيات مثل هجمات تمرير التجزئة لرفع امتيازاته إلى مستوى المسؤول.
وتقوم العصابة أيضًا بسلسلة من الإجراءات التي تهدف إلى تدمير الدفاعات السيبرانية، بما في ذلك إيقاف تشغيل الحماية، وتشفير الملفات المهمة، مثل أقراص الآلة الافتراضية (VMDKs) في وقت مبكر، وحذف النسخ الاحتياطية لمنع الاسترداد. وعادةً ما تقوم العصابة بإضافة الامتدادات .FOG أو .FLOCKED إلى الملفات المشفرة، ومثل معظم العصابات الأخرى، تستخدم Tor للتفاوض مع الضحايا.
وقال ليديسما إنه لا يوجد حاليًا أي نسب مباشر إلى جهات تهديد أخرى راسخة، مما يشير إلى أن فوج ينحدر على الأرجح من مجموعة جديدة وذات مهارات عالية.
وفي الحادثة التي ردت عليها منظمة “أدلومين”، تمكن فريق التحقيق من تعقب عملية التسلل إلى نظام غير محمي يحتوي على عناوين IP صادرة عن موسكو، رغم أن هذا قد لا يثبت بالضرورة مصدره.
ومن بين الباحثين الآخرين الذين يراقبون Fog الفريق في Arctic Wolf، الذي لاحظ مدة قصيرة بشكل ملحوظ بين التطفل الأولي والتشفير، وهو ما يبتعد عن الممارسة الشائعة في معظم سيناريوهات برامج الفدية.
وفي تحليل نُشر في أوائل يونيو/حزيرانقال فريق Arctic Wolf “يبدو أن الجهات الفاعلة في التهديد مهتمة أكثر بالدفع السريع بدلاً من تنفيذ هجوم أكثر تعقيدًا يتضمن استخراج البيانات وموقع تسريب رفيع المستوى”، على الرغم من أنه يجب ملاحظة أن العصابة هل يقوم بتشغيل موقع التسرب.
ومع ذلك، يبدو أن ملاحظة “أركتيك وولف” تتوافق مع نظرية أدلومين التي تقول إن الطاقم يطارد الآن أهدافًا أكثر ثراءً نقدًا – بعد أن تخصص في وقت سابق في مهاجمة المدارس والكليات.
وبناء على ذلك، يتعين على المدافعين في المؤسسات التجارية الانتباه إلى التهديد المتزايد الذي يشكله الضباب، والتركيز بشكل خاص على الحفاظ على البنية الأساسية الاحتياطية الآمنة خارج الموقع بالإضافة إلى سياسات الدفاع المتعمق القياسية.
المقال الكامل الذي كتبه ليديزما لشركة Adlumin، بما في ذلك نصائح أكثر تفصيلاً حول الكشف والإصلاح، يمكن العثور عليها هنا.
