Чем известна Fog. Группа работает по модели «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS), то есть предоставляет платный доступ к вредоносному ПО и инфраструктуре управления другим злоумышленникам. Активность группы впервые была замечена в начале 2024 г. Среди атакуемых отраслей - сферы образования, отдыха и туризма, финансов.
Как действуют злоумышленники. Кибератаки затрагивают системы на базе ОС Windows и Linux. Атакующие получают доступ к конфиденциальной информации организаций, используя скомпрометированные учетные данные для доступа к корпоративным VPN, а затем быстро их шифруют - иногда в течение двух часов.
«Новая тактика Fog не только позволяет усилить психологическое давление на жертв, но и повышает риски новых инцидентов в будущем. Другие злоумышленники могут воспользоваться опубликованными на теневых форумах IP-адресами, чтобы провести собственную кибератаку на организацию. Они могут использовать адреса для атак с подстановкой или перебором учетных данных либо атаковать инфраструктуру с помощью ботнетов», - сказал директор Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»).
Чтобы защититься от кибератак с использованием программ-шифровальщиков, «Лаборатория Касперского» рекомендует организациям: проводить обучающие тренинги для сотрудников по основам кибербезопасности; регулярно делать резервное копирование данных и помещать их в изолированное от основной сети хранилище; установить надежное защитное решение на все корпоративные устройства, эффективность которого подтверждается независимыми тестами; использовать решение уровня XDR для мониторинга подозрительной сетевой активности; в случае нехватки ИБ-специалистов, а также для более надежной защиты можно делегировать задачи по обнаружению угроз и реагированию компании, специализирующейся на информационной безопасности.