Fog ransomware szokatlan eszközkészlettel
Egy ázsiai pénzintézet elleni 2025. májusi támadás során a Fog ransomware-t használták egy szokatlan eszközkészlet mellett, beleértve néhány kettős felhasználású és nyílt forráskódú pentest eszközt, amelyeket korábban még nem figyeltek meg ransomware támadásokban – áll a Symantec jelentésében. A támadók a Syteca (korábban Ekran) nevű, legális munkavállalói felügyeleti szoftvert használták, ami rendkívül szokatlan. Emellett több nyílt forráskódú pentest eszközt – GC2, Adaptix és Stowaway – is alkalmaztak, amelyek szintén nem jellemzőek ransomware támadásokban.
Figyelemre méltó volt az elemzett támadásban, hogy néhány nappal a ransomware telepítése után a támadók létrehoztak egy szolgáltatást a perzisztencia megteremtése érdekében. Ez szokatlan lépés egy ransomware támadásban, mivel a rosszindulatú tevékenység általában megszűnik a hálózaton, miután a támadók kiszivárogtatták az adatokat és telepítették a zsarolóvírust, de ebben az esetben a támadók láthatóan továbbra is hozzá akartak férni az áldozat hálózatához.
A támadók körülbelül két hétig voltak a célpont hálózatán, mielőtt a ransomware-t telepítették volna.
A Fog ransomware-t először 2024 májusában dokumentálták, és kezdetben úgy tűnt, hogy elsősorban az amerikai oktatási intézményeket célozza meg. Ezekben a korai támadásokban a Fog-ot használó támadók a kompromittált VPN hitelesítő adatok felhasználásával szereztek kezdeti hozzáférést a hálózatokhoz.
