Uma nova variante de ransomware chamada Fog se consolidou como ameaça relevante contra organizações dos setores de educação e recreação nos Estados Unidos, com casos monitorados a partir de maio de 2024 pela Arctic Wolf Labs. Em cerca de 80% dos incidentes analisados, as vítimas eram instituições educacionais e, nos demais, organizações de recreação, indicando uma campanha geograficamente concentrada e setorialmente direcionada.
Acesso inicial por credenciais de VPN comprometidas
Em todas as investigações conduzidas pela Arctic Wolf, as evidências forenses apontaram o uso de credenciais de VPN comprometidas como vetor inicial, explorando dois fabricantes distintos de gateways VPN não nomeados publicamente. A partir desse acesso remoto, os operadores do Fog avançaram para dentro dos ambientes, demonstrando fragilidades em controles de acesso remoto e na proteção de contas privilegiadas que mantinham sessões ou credenciais válidas nesses concentradores.
Metodologia de ataque e movimentação lateral
Uma vez dentro da rede, os atacantes adotam uma abordagem em múltiplos estágios que combina técnicas típicas de pentest com a preparação para a criptografia. Em um dos cenários descritos, o Fog recorre a pass-the-hash para comprometer contas administrativas e estabelecer conexões RDP com servidores Windows que executam Hyper‑V e Veeam, enquanto em outros casos foi observado credential stuffing para facilitar o movimento lateral, sempre apoiado em protocolos como RDP e SMB.
Uso de ferramentas legítimas e foco em backups
Ferramentas como PsExec são implantadas em diversos hosts para execução remota de comandos, enquanto utilitários de administração e varredura, como SoftPerfect Network Scanner, Advanced Port Scanner e SharpShares, ajudam a mapear serviços e compartilhamentos acessíveis. Em paralelo, scripts como Veeam-Get-Creds.ps1 são usados para extrair senhas do Veeam Backup and Replication Credentials Manager, permitindo que os operadores desativem backups, deletem snapshots e removam cópias de segurança, inclusive em object storage, antes de acionar o estágio de criptografia.
Funcionamento do payload e fluxo de criptografia
O binário de criptografia do Fog apresenta blocos de código idênticos entre diferentes casos e, ao ser executado, cria um arquivo DbgLog.sys no diretório %AppData% para registrar o status e eventuais erros durante as etapas do ataque. Na rotina de inicialização, o malware referencia NTDLL.DLL e a função NtQuerySystemInformation para obter informações do sistema e dimensionar um pool de threads entre dois e dezesseis, usado para paralelizar a descoberta de arquivos e o processo de criptografia.
Configuração baseada em JSON e extensões .FOG e .FLOCKED
Um bloco de configuração em JSON controla parâmetros críticos, como a chave pública RSA usada na criptografia, extensões de arquivos (como .FOG e .FLOCKED), nomes de notas de resgate e serviços ou processos que devem ser interrompidos antes da cifragem. A descoberta de arquivos utiliza APIs padrão do Windows como FindFirstVolume e FindFirstFile em suas variantes Unicode, e a criptografia é realizada com chamadas a CryptImportKey e CryptEncrypt antes de renomear os arquivos com as extensões configuradas e gravar as notas de resgate.
Remoção de cópias de sombra e ausência de extorsão dupla
Antes da conclusão do ataque, o Fog executa vssadmin.exe com o comando delete shadows /all /quiet para apagar todas as cópias de sombra, dificultando a recuperação via snapshots locais. Até o momento, a Arctic Wolf não observou exfiltração de dados nos casos investigados, nem presença de sites de vazamento associados ao grupo, o que sugere uma estratégia voltada a cifragem rápida e cobrança de resgate sem componente de extorsão dupla.
Recomendações para defesa e mitigação
Frente a esse cenário, especialistas recomendam prioridade na proteção da infraestrutura de VPN, com uso consistente de autenticação multifator, revisão de contas com acesso remoto e monitoramento de tentativas de login anômalas. Estratégias de defesa em profundidade, incluindo segmentação de rede, desativação de ferramentas remotas desnecessárias, logging detalhado em RDP/SMB/PowerShell e manutenção de backups offline ou imutáveis, são fundamentais para reduzir o impacto potencial de campanhas como a do Fog.






