Pesquisadores identificaram o ransomware chamado Fog em uma série de incidentes que atingem, predominantemente, instituições educacionais e organizações de recreação nos Estados Unidos. O ponto de entrada confirmado nos casos analisados foi o uso de credenciais VPN comprometidas.
Descoberta e escopo
Arctic Wolf Labs começou a monitorar a atividade relacionada ao Fog em investigações iniciadas no início de maio de 2024, segundo a reportagem. Nas amostras analisadas pelos pesquisadores, cerca de 80% das vítimas eram do setor educacional e 20% do setor de recreação, todas localizadas nos EUA.
Vetor inicial e movimento lateral
Em todos os casos reportados, evidências forenses indicaram que os invasores obtiveram acesso inicial por meio de credenciais VPN comprometidas em pelo menos dois fornecedores de gateways VPN distintos. A partir daí, os atacantes usaram técnicas como pass-the-hash para comprometer contas administrativas, estabelecer conexões RDP e alcançar servidores Windows que executavam Hyper-V e sistemas de backup Veeam.
Ferramentas e técnicas observadas
- Execução remota e movimentação lateral com PsExec;
- Uso de Metasploit em atividades de reconhecimento contra servidores Veeam;
- Utilitários de varredura/enumeração, incluindo SoftPerfect Network Scanner e Advanced Port Scanner;
- Enumeração de shares com SharpShares v2.3 e extração de credenciais de Veeam com scripts como Veeam-Get-Creds.ps1.
Comportamento do ransomware
As amostras do Fog observadas continham blocos de código idênticos entre incidentes, indicando uso da mesma família de malware. Ao executar, o binário cria um arquivo chamado DbgLog.sys em %AppData% para registro de atividades, e usa chamadas a NTDLL.DLL e a função NtQuerySystemInformation para coleta de informações do sistema e alocação de threads.
O ransomware aceita opções de linha de comando como NOMUTEX, TARGET e CONSOLE. Uma configuração em JSON controla parâmetros de criptografia (incluindo a chave pública RSA), extensões de arquivos-alvo (tipicamente .FOG ou .FLOCKED), nomes de notas de resgate e procedimentos para desligamento de serviços.
Evasão e destruição de backups
Antes da criptografia, os operadores desabilitaram o Windows Defender em servidores afetados e executaram comandos para apagar cópias de sombra, tipicamente via vssadmin.exe delete shadows /all /quiet, comprometendo a recuperação via backups locais. O processo de descoberta de arquivos usa APIs Windows padrão (FindFirstVolume, FindFirstFile) e cria um pool de threads proporcional ao número de processadores para realizar a criptografia com chamadas a CryptImportKey e CryptEncrypt.
Exfiltração e motivação
Nos casos reportados não foi observada exfiltração significativa de dados; o padrão de operação e o tempo rápido de criptografia indicam motivação financeira com foco em pagamentos rápidos, em vez de campanhas complexas de extorsão com vazamento público posterior.
Impacto e recomendações
O incidente ressalta riscos relacionados a credenciais VPN comprometidas e gestão inadequada de acessos privilegiados. Recomendações práticas destacadas na reportagem incluem:
- Aplicar MFA em acesso VPN e administração remota;
- Reforçar monitoramento e auditoria de logs de VPN e RDP;
- Isolar e testar backups off‑site e proteger credenciais de backup (ex.: Veeam);
- Higienizar contas administrativas, reduzir exposição de serviços de gerenciamento remoto e aplicar políticas de bloqueio para ferramentas de administração remota quando não necessárias;
- Preparar playbooks de resposta que considerem a possibilidade de apagamento de cópias de sombra e desativação de soluções antimalware.
Limitações e dados em falta
A matéria apresenta amostras e padrões de ataque analisados por Arctic Wolf Labs, mas não lista vítimas específicas nem quantifica o número total de incidentes identificados até o momento. Também não há indicação pública de ligações a grupos criminosos com nome consolidado ou de pedidos de resgate divulgados.
Observação final
Organizações com VPNs expostas e uso de Veeam/Hyper‑V devem priorizar revisão de credenciais, aplicação de MFA e verificação de logs históricos para sinais de comprometimento, conforme as táticas e IOCs mencionados na investigação.