Los ataques de ransomware Fog utilizan herramientas de monitoreo de empleados para infiltrarse en redes empresariales.

Los operadores del ransomware Fog han ampliado su arsenal al incorporar herramientas legítimas y de código abierto, probablemente con la intención de evitar ser detectados antes de desplegar su software de cifrado. Investigadores de seguridad han analizado una infección provocada por este ransomware y han descubierto que los atacantes utilizaron Syteca, una herramienta de monitoreo de empleados, durante el ataque.

Syteca, anteriormente conocida como Ekran, tiene la capacidad de registrar la actividad de la pantalla y las pulsaciones de teclas, y hasta ahora no había sido observada en ataques cibernéticos. Al rastrear contraseñas y registrar keystrokes, los atacantes lograron acceder a sistemas adicionales, mapear la red y finalmente implementar el cifrador.

Para introducir Syteca en el entorno objetivo, Fog recurrió a Stowaway, una herramienta de proxy de código abierto diseñada para investigadores de seguridad y pruebas de penetración, que permite enmascarar tráfico a través de múltiples nodos de intermediarios y acceder a redes internas restringidas. Después de desplegar la carga útil, utilizaron SMBExec, otra herramienta de código abierto, para ejecutarla a través del protocolo Server Message Block (SMB). Por último, hicieron uso de GC2, una puerta trasera de post-explotación que utiliza Google Sheets y SharePoint para el control de comandos y la exfiltración de datos. Al igual que Syteca, GC2 es poco común en ataques cibernéticos, aunque se ha informado que el grupo patrocinado por el estado chino APT41 lo ha utilizado en ocasiones.

Los investigadores de Symantec señalaron que el conjunto de herramientas empleado por los atacantes es bastante inusual para un ataque de ransomware. La clientela de Syteca y la herramienta GC2 no se habían visto antes en ataques de este tipo, al igual que Stowaway y el Adap2x C2 Agent Beacon, lo que subraya la singularidad de este caso.

Fog ransomware apareció por primera vez en abril de 2024, y sus primeros ataques se registraron un mes después. Desde entonces, el grupo ha ganado notoriedad al reclamar víctimas reconocidas como la empresa de semiconductores Melexis, la organización meteorológica europea EUMETSAT, la Universidad FHNW en Suiza y Ultra Tune, una franquicia de servicios automotrices en Australia. En sus ataques iniciales, el grupo utilizó credenciales de VPN comprometidas para ingresar a las redes de las víctimas, utilizando posteriormente ataques de “pass-the-hash” para elevar privilegios, deshabilitar productos antivirus y cifrar todos los archivos.