【安全资讯】Fog勒索软件组织转向金融行业：新目标浮现

概要：

Fog勒索软件组织以往主要攻击教育和娱乐行业，现已将目标转向更具盈利性的金融服务行业。2024年8月，网络安全公司Adlumin成功应对了一次针对一家中型金融公司的攻击，及时遏制了重大损失的发生。

主要内容：

此次攻击始于2024年8月初，黑客利用被盗的VPN凭证，未经授权进入该金融公司的网络。Fog勒索软件是臭名昭著的STOP/DJVU家族的变种，被用于加密Windows和Linux系统上的敏感数据。然而，得益于Adlumin的创新检测技术，攻击迅速被识别并制止。Adlumin的系统在几分钟内隔离了受感染的机器，锁定了攻击者，防止了重大加密或数据盗窃。

Fog勒索软件首次出现于2021年，以其利用被盗的VPN凭证渗透网络而闻名。一旦进入系统，它会利用漏洞并采用复杂的技术，如传递哈希攻击，获取管理员控制权。这使得勒索软件能够禁用安全机制，加密关键文件（包括虚拟机磁盘），并销毁备份数据，迫使受害者支付赎金。被Fog加密的文件通常带有“.FOG”或“.FLOCKED”扩展名，并附有勒索信，指示受害者通过Tor网络上的谈判平台支付赎金。

此次攻击表明Fog勒索软件组织正战略性地转向更具价值的目标。金融机构持有的敏感数据对网络犯罪分子极具吸引力，使其成为勒索软件攻击的理想目标。在攻击过程中，Fog勒索软件组织使用了多种复杂技术在网络中横向移动并收集凭证。攻击者通过扫描具有提升权限的主机进行网络发现，使用Advanced Port Scanner和SharpShares等工具映射网络驱动器和共享文件夹，从而进一步扩散。凭证收集是攻击的关键环节，攻击者使用Microsoft命令行工具esentutl.exe备份端点的登录数据，包括存储在Google Chrome中的加密凭证。随后，他们使用Rclone命令行工具同步和传输被盗数据，特别是过去两年内修改的文件。加密阶段使用名为locker.exe的工具锁定共享驱动器上的关键文件，随后在所有受影响的机器上留下勒索信，指导受害者如何进行支付谈判。