Le paysage de la cybersécurité est en constante évolution, et les acteurs malveillants ne cessent de trouver de nouvelles façons d’exploiter les vulnérabilités des systèmes. Un exemple frappant de cette tendance est l’utilisation du ransomware Fog, qui se distingue par son exploitation d’outils de pentesting légitimes pour exfiltrer des données et déployer des ransomwares.
Comprendre Fog Ransomware
Fog Ransomware est une menace relativement nouvelle, détectée pour la première fois en mai 2024. Il utilise des identifiants VPN compromis ou des vulnérabilités système pour accéder aux réseaux des organisations et chiffrer rapidement les données, exigeant des rançons pour leur restitution. Ce qui distingue Fog des autres ransomwares, c’est son utilisation de techniques d’évasion avancées et son évolution rapide. Initialement, Fog ciblait principalement les secteurs de l’éducation et des loisirs aux États-Unis, mais il a depuis élargi son champ d’action, visant désormais des industries plus lucratives comme les services financiers.
L’Arsenal de Fog: Outils de Pentesting et Logiciels de Surveillance
Ce qui rend Fog particulièrement intéressant, c’est son utilisation d’outils de pentesting open-source et de logiciels de surveillance légitimes pour mener ses attaques. En mai 2025, une attaque contre une institution financière a révélé une combinaison inhabituelle d’outils : le logiciel de surveillance des employés Syteca et les outils de pentesting open-source GC2, Adaptix et Stowaway.
- Syteca : Utilisé pour surveiller les activités des employés, ce logiciel est détourné pour récolter des identifiants et surveiller le comportement des employés en temps réel.
- GC2, Adaptix et Stowaway : Ces outils de pentesting sont utilisés pour créer des chaînes d’attaque qui sont à la fois discrètes et hautement efficaces. Les attaquants combinent ces outils pour établir une présence à long terme, infecter plus de systèmes que nécessaire pour une opération de ransomware typique, et exfiltrer des données avant de déployer le ransomware.
Méthodologie d’Attaque
L’attaque de Fog Ransomware suit une méthodologie en plusieurs étapes. Voici un aperçu de son cycle de vie :
- Exploitation et Intrusion : Les attaquants exploitent des vulnérabilités, telles que des applications logicielles non patchées, pour accéder au système. Ils utilisent souvent des identifiants VPN compromis pour contourner les défenses du réseau.
- Mouvement Latéral : Une fois à l’intérieur, les attaquants utilisent des techniques comme le pass-the-hash et le credential stuffing pour étendre leur accès et escalader leurs privilèges. Ils utilisent des outils comme BloodHound pour analyser les droits des utilisateurs et faciliter l’attaque.
- Déploiement et Chiffrement : Les attaquants déploient l’agent ransomware, désactivent les mesures de sécurité comme Windows Defender, et chiffrent les fichiers. Ils ajoutent des extensions comme .FOG ou .FLOCKED aux fichiers chiffrés.
- Extorsion : Après le chiffrement, les attaquants distribuent des fichiers « readme.txt » contenant des instructions de rançon et des détails sur la manière de communiquer avec eux pour résoudre l’incident.
Détection et Mitigation
Pour détecter et atténuer les attaques de Fog Ransomware, les organisations doivent adopter une approche multicouche :
- Utiliser des outils de surveillance avancés : Déployer des systèmes de protection des endpoints qui utilisent des algorithmes avancés pour détecter les activités suspectes.
- Éduquer les employés : Former les employés à reconnaître les tentatives de phishing et autres menaces.
- Mettre en place des sauvegardes robustes : Effectuer des sauvegardes régulières et les stocker dans un emplacement hors site sécurisé.
Conclusion
Fog Ransomware représente une évolution inquiétante dans le paysage des ransomwares, utilisant des outils légitimes pour mener des attaques sophistiquées. Les organisations doivent rester vigilantes et adopter des mesures de sécurité robustes pour se protéger contre cette menace croissante.
Cyberfishement 🐡