Adlumin’deki olay müdahale ekiplerinin yayınladığı istihbarata göre, Fog fidye yazılımı ekibinin saldırı hacimlerini artırdığı ve ödeme arayışında yeni, daha kazançlı dikeyleri hedef aldığı gözlemlendi ve daha yüksek profilli siber suç örgütlerinden biri olma yolunda ilerliyor olabilir.
Geçtiğimiz ay, Adlumin olay müdahale ekibi, ismi açıklanmayan orta ölçekli bir ABD finansal hizmetler şirketine, hem Windows hem de Linux çalıştıran uç noktalardaki verileri hedef alan ve neyse ki engellenen bir Fog fidye yazılımı saldırısında yardımcı oldu.
Olay, yürütme öncesinde bir ağdaki fidye yazılımı etkinliğini tespit etmek için kullanılan “sahte” dosyaları içeren Adlumin teknolojisi sayesinde boşa çıktı. Etkilenen makineler izole edildi ve saldırganlar dakikalar içinde kilitlendi.
Adlumin Yönetilen Tespit ve Müdahale Kıdemli Direktörü Will Ledesma, saldırının bir finansal hizmetler şirketini hedef alması nedeniyle dikkat çekici olduğunu, çünkü Fog ekibinin geleneksel kurban profilinden farklı olduğunu söyledi.
“Tarihsel olarak sadece eğitim ve eğlence sektöründeki kuruluşlara saldırdığı gözlemlenen Fog Ransomware grubu, artık finansal hizmetler sektöründe daha kazançlı hedeflerin peşinde” diye yazdı.
Yaklaşık üç yıl öncesine dayanan STOP/DJVU fidye yazılımı ailesinin bir çeşidi olan Fog, saldırılarına genellikle ağ savunmalarını aşmak için tehlikeye atılmış VPN kimlik bilgilerini kullanarak başlar. Bir kurban ortamına girdikten sonra, ayrıcalıklarını yönetici düzeyine yükseltmek için pass-the-hash saldırıları gibi teknikler kullanır.
Çete ayrıca siber savunmaları devre dışı bırakmayı amaçlayan bir dizi eylem gerçekleştirir; korumaları kapatmak, sanal makine diskleri (VMDK’ler) gibi kritik dosyaları erken şifrelemek ve kurtarmayı önlemek için yedekleri silmek gibi. Genellikle şifrelenmiş dosyalara .FOG veya .FLOCKED uzantıları ekler ve diğer çetelerin çoğu gibi kurbanlarla pazarlık yapmak için Tor kullanır.
Ledesma, şu anda diğer yerleşik tehdit aktörlerine doğrudan atıf eksikliği olduğunu ve bu nedenle Fog’un büyük ihtimalle yeni ve oldukça yetenekli bir gruptan kaynaklandığını öne sürdüğünü söyledi.
Adlumin’in müdahale ettiği olayda soruşturma ekibi, sızmanın IP adreslerinin Moskova’dan geldiği korumasız bir sisteme ait olduğunu tespit etti; ancak bu, sızmanın kaynağını kesin olarak kanıtlamayabilir.
Fog’u izleyen diğer araştırmacılar arasında, ilk saldırı ile şifreleme arasındaki sürenin oldukça kısa olduğunu gözlemleyen Arctic Wolf ekibi de yer alıyor. Bu süre, çoğu fidye yazılımı senaryosunda görülen yaygın uygulamadan farklı.
Haziran ayının başlarında yayınlanan bir analizde Arctic Wolf ekibi, “tehdit aktörlerinin, veri sızdırma ve dikkat çeken bir sızıntı sitesi içeren daha karmaşık bir saldırı düzenlemek yerine, hızlı bir ödemeyle daha fazla ilgilendikleri”ni söyledi; ancak çetenin bir sızıntı sitesi işlettiğinin de belirtilmesi gerekiyor.
Arctic Wolf’un gözlemi, mürettebatın daha önce okullara ve kolejlere saldırma konusunda uzmanlaşmış olmasının ardından artık daha fazla para kazanabilecekleri hedefleri avladığı yönündeki Adlumin teorisiyle örtüşüyor.
Bu nedenle, kurumsal işletmelerdeki savunmacıların, Fog’un oluşturduğu giderek artan tehdide dikkat etmeleri ve özellikle standart derinlemesine savunma politikalarına ek olarak güvenli, şirket dışı yedekleme altyapısının sürdürülmesine odaklanmaları gerekmektedir.
Ledesma’nın Adlumin için yazdığı, tespit ve iyileştirme konusunda daha derinlemesine tavsiyeler içeren yazının tamamını burada bulabilirsiniz.