Fog-Ransomware genauer betrachtet

Fog-Ransomware trat im April 2024 als ausgeklügelte Cyberbedrohung auf, die schnelle Verschlüsselung mit doppelten Erpressungstaktiken kombinierte. Die Fog-Bedrohungsakteure nahmen zunächst Bildungseinrichtungen über kompromittierte VPN-Konten ins Visier. Schon bald weiteten sie ihren Umfang auf Regierungsbehörden und Unternehmen aus. Stand Februar 2025 waren Unternehmensdienstleistungen, Technologie, Bildung, Fertigung und Regierung die fünf wichtigsten Sektoren, die von Fog betroffen waren. Die meisten Opfer von Fog leben in den Vereinigten Staaten.

Die Forscher vermuten, dass die Fog-Bedrohungsakteure von Russland oder anderen ehemaligen Sowjetstaaten aus operieren, denn sie vermeiden es auffallend, die osteuropäischen Länder und die Volksrepublik China ins Visier zu nehmen. Bei einem Angriff im Jahr 2024 konnten Forscher den Ursprung der mit Fog in Zusammenhang stehenden IP-Adresse nach Moskau zurückverfolgen.

Gruppe oder Variante?

Analysten haben darauf geachtet, Fog Ransomware als Variante und nicht als Bedrohungsgruppe zu unterscheiden. Es scheint keine Anzeichen für eine zentralisierte Operation hinter dem Einsatz von Fog zu geben. Es kann von verschiedenen Bedrohungsakteuren verwendet werden, um Angriffe auszuführen, und die Entwickler sind von denen getrennt, die die Angriffe durchführen.

Ransomware-as-a-Service (RaaS)-Anbieter arbeiten auch getrennt von Ransomware-Entwicklern, aber es gibt immer Hinweise auf eine organisatorische Hierarchie oder eine Aufgabentrennung hinter der Software. Es gibt Regeln und Zahlungsstrukturen für die Partner. Wir können Fog nicht als RaaS-Betrieb betrachten, weil es nicht auf diese Beschreibung passt.

Wir können auch nicht ausschließen, dass Fog in einem RaaS-Betrieb eingesetzt wird oder eingesetzt werden sollte. Durch den modularen Aufbau können Angreifer steuern, was verschlüsselt wird, wie schnell der Angriff erfolgt, welchen Umfang die Verschlüsselung hat und welchen Inhalt die Lösegeldforderung hat. Es ist möglich, dass es im Hinblick auf einen RaaS-Betrieb entwickelt wurde.

Obwohl Fog keine einzelne Organisation zu sein scheint, entspricht sie den allgemein bekannten Parametern einer „Bedrohungsakteursgruppe“. Fog-Angreifer teilen sich Infrastruktur und Malware. Sie haben gemeinsame Taktiken, Techniken und Verfahren (TTPs) und verwenden bei ihren Angriffen ähnliche Phishing-E-Mails, Lösegeldforderungen und Verhandlungschats. Es gibt auch eine Leck-Site und ein Verhandlungsportal der Marke Fog, was bedeutet, dass diese Bedrohungsakteure sich bei der Kommunikation mit den Opfern abstimmen.

Es wurde auch beobachtet, dass Fog-Akteure während der Angriffe über Command-and-Control-Server (C2C) und verschlüsselte Kommunikationskanäle kommunizierten.

Fog in Zahlen

Basierend auf den verfügbaren Daten haben Analysten die folgenden Kennzahlen berechnet:

• Anzahl der öffentlich gemeldeten Opfer: 189, Stand April 2025
• Durchschnittliche anfängliche Lösegeldforderung: 220.000 $
• Durchschnittliche Lösegeldzahlung: 100.000 $  

Der von Fog eingenommene Betrag ist unbekannt. Wenn alle öffentlich gemeldeten Opfer die durchschnittliche Lösegeldsumme zahlen würden, läge diese bei 18,9 Millionen $. Wir wissen, dass nicht alle Opfer das Lösegeld zahlen und nicht alle Vorfälle gemeldet werden. Eine kürzlich durchgeführte Umfrage ergab, dass 86 % der Unternehmen (weltweit) im vergangenen Jahr Lösegeldforderungen bezahlt haben, was interessant ist, aber wahrscheinlich nicht für Opfer von Fog gilt.

Es gibt keine Hinweise darauf, dass die Motive der Fog-Bedrohungsakteure andere sind als Geld. Sie haben sich nicht zu einem Nationalstaat bekannt oder Unterstützung für eine Ideologie oder Sache gezeigt.

So funktioniert Fog

Fog verbreitet sich normalerweise über eine der folgenden anfänglichen Zugriffsmethoden:

• Kompromittierte SonicWALL VPN-Konten: Diese Konten werden normalerweise über einen Initial Access Broker (IAB) gekauft, können aber auch direkt durch Phishing-Kampagnen gestohlen werden.
• Ausnutzung von Schwachstellen: Die Gruppe nimmt aktiv ungepatchte Software ins Visier, insbesondere Veeam Backup & Replication (CVE-2024-40711)
• Phishing-Kampagnen: Bedrohungsakteure nutzen Phishing-Kampagnen, um den Ransomware-Loader einzusetzen. Diese E-Mails geben sich in der Regel als Anfrage zur Aktualisierung des VPN, als Anfrage zu unbezahlten Rechnungen und als Benachrichtigung über eine Änderung der Personalpolitik aus. Die Anhänge verhalten sich unterschiedlich, führen aber alle zu Versuchen, den Fog-Ransomware-Loader herunterzuladen.

In den letzten Phishing-Kampagnen wurden Phishing-E-Mails mit einem ZIP-Dateianhang verwendet, der eine bösartige LNK-Verknüpfung enthält. Die LNK-Datei führt einen Befehl aus, der ein PowerShell-Skript mit dem Namen „stage1.ps1“ aus einer vom Angreifer kontrollierten Domäne herunterlädt. Das Skript lädt dann mehrere Nutzdaten und unterstützende Dateien herunter. Erpresserbriefe, die mit diesen Angriffen in Zusammenhang stehen, haben die Opfer mit Verweisen auf Edward Coristine und das U.S. Department of Government Efficiency (DOGE) verhöhnt. 

Forscher haben festgestellt, dass zwischen der Fog-Ransomware und DOGE keine wirkliche Verbindung besteht.

Sobald Fog im System ist, beginnt Fog sofort mit der Systemerkundung und versucht, die Persistenz herzustellen, indem er die Systemkonfigurationen ändert und zusätzliche Skripte einsetzt, die die Malware nach einem Systemneustart aktiv halten. Der nächste Schritt ist die Erlangung der administrativen Kontrolle mit Hilfe von Tools wie Mimikatz und Techniken wie LSASS Memory Dumping und NTLM-Relay-Angriffen. Fog implementiert außerdem Anti-Recovery-Maßnahmen wie die Verschlüsselung von Backups und das Löschen von Volume-Schattenkopien.

Der Angriff verläuft mit lateraler Bewegung und Datenexfiltration. Fog-Akteure nutzen den Zero-Knowledge-Cloud-Dienst Mega.nz, um gestohlene Daten zu speichern, bevor sie das Netzwerk verschlüsseln. Dadurch wird das System der doppelten Erpressung eingeführt. Wenn dies abgeschlossen ist, verschlüsselt Fog Dokumente, Datenbanken, Backups und alle anderen kritischen Betriebsdaten. Die Erweiterungen .fog, .Fog oder .FLOCKED werden an die verschlüsselten Dateien angehängt, und Lösegeldforderungen mit dem Namen „readme.txt“ über das Netzwerk verteilt. Die Informationen des Opfers werden der Fog-Leak-Site hinzugefügt. 

Nach dem Angriff

Die Verhandlungstaktik ist die gleiche wie bei anderen Gruppen. 

Wenn Sie möchten, dass Ihre Daten vollständig entschlüsselt und die von uns gestohlenen Dateien von unserer Quelle entfernt werden, müssen Sie eine Gebühr zahlen. Wir können Ihnen außerdem einen Sicherheitsbericht vorlegen und erklären, wie wir es geschafft haben, einzudringen. (Quelle)

Fog beginnt mit einer hohen Lösegeldforderung und geht einen Kompromiss bei einem niedrigeren Betrag ein, wenn dies akzeptabel ist. 

Nach der Zahlung sendet Fog Entschlüsselungsschlüssel und bestätigt die Löschung der gestohlenen Daten. In zwei der hier verfügbaren Chats hatte das Opfer Schwierigkeiten, sich zu erholen und musste das Problem mit dem Bedrohungsakteur lösen:

Der von Fog versprochene Sicherheitsbericht ist wahrscheinlich nicht nützlich für Opfer, die bereits Best Practices befolgen. 

Der Zugriff auf Ihr Netzwerk erfolgte über eine Phishing-Mail. Ihre Mitarbeiter sollten beim Herunterladen und Öffnen unbekannter Dateien wachsamer sein. Wir empfehlen Ihnen, die folgenden Maßnahmen zum Schutz Ihres Unternehmensnetzwerks zu ergreifen: 1) Setzen Sie Passwörter für lokale und Domain-Administratoren durch. Komplizieren Sie die Gruppenrichtlinie für Passwörter aller Benutzer. 2) Verwenden Sie die Gruppe „Geschützte Benutzer“. 3) Verwenden Sie ein zentrales Management des Antivirus. 4) Weisen Sie die Benutzer an, keine verdächtigen E-Mails und Dateien zu öffnen. 5) Aktualisieren Sie Software und Betriebssystem auf die neuesten Versionen. 6) Richten Sie Berechtigungsdelegierungen im Active Directory ein. 7) Installieren Sie eine Anwendung zur Überwachung der Aktivitäten im Active Directory. 8) Verwenden Sie Vmware Esxi Ver. 7.0 oder aktueller. Unser Team garantiert, dass keine Daten aus Ihrem Netzwerk offengelegt, verkauft oder veröffentlicht werden. Selbstverständlich bleibt auch dieser Dialog vertraulich. (Quelle)

Die Sprache ähnelt den detaillierten Sicherheitsberichten von Akira.

Freunde und Familie

Fog ist kaum ein Jahr alt, doch Forscher vermuten, dass es sich bei seinen Betreibern um erfahrene Ransomware-Bedrohungsakteure handelt. Eine Analyse der Fog-Intrusionen über kompromittierte SonicWALL VPN-Konten zeigt, dass nur 25 % der Eindringlinge direkt mit Fog in Verbindung standen. Die verbleibenden 75 % der Fog-Angriffe standen im Zusammenhang mit Akira-Ransomware, was auf Zusammenarbeit und gemeinsame Infrastruktur hindeutet. Auch Fog und Akira verwenden ähnliche Tools und Exploits und sind für ihre schnellen Verschlüsselungstechniken bekannt.

Fog wurde über gemeinsam genutzte Kryptowährungs-Wallets auch mit der Conti-Ransomware in Verbindung gebracht. Forscher brachten Akira 2023 mit Conti in Verbindung, daher ist die Verbindung zu Conti nicht überraschend, aber sie ist für Ermittler und Forscher bemerkenswert. Hier ist der allgemeine Überblick über die Conti-Familie:

• Ryuk: August 2018–Anfang 2022. Entwickelte sich aus Hermes und ist der direkte Vorgänger von Conti.
• Conti: Dezember 2019–Juni 2022. Geschlossen und in mehrere Gruppen aufgespalten.
• Karakurt: Entstand im Juni 2021 und ist seit 2025 aktiv. Ableger von Conti.
• Quantum: Entstand im August 2021 und ist seit 2025 aktiv. Rebranding von MountLocker mit Verbindungen zu Conti.
• BlackByte: Entstand Mitte 2021 und ist seit 2025 aktiv. Conti-Partner.
• Zeon: Januar 2022–September 2022. Direkter Vorläufer von Royal mit Verbindungen zu Conti.
• Royal: September 2022–Mitte/Ende 2023. Rebranding von Zeon, das sich zu BlackSuit entwickelte.
• Black Basta: Entstand im April 2022 und ist seit 2025 aktiv. Ableger von Conti.
• Akira: Entstand im März 2023 und ist seit 2025 aktiv. Eng verbunden mit Conti.
• BlackSuit: Entstand Mitte 2023 und ist seit 2025 aktiv. Rebranding oder Weiterentwicklung von Royal.
• Fog: Entstand im April 2024 und ist seit 2025 aktiv. Verbunden mit Akira und Conti.

Conti wurde erstmals im Dezember 2019 beobachtet und war im Juni 2022 vollständig offline. Ein Blick auf Fog Ransomware in diesem Zusammenhang unterstreicht die Tatsache, dass neu nicht unerfahren bedeutet. Kriminelles Fachwissen, Code-Weiterentwicklungen und Angriffstechniken wechseln fließend zwischen diesen Gruppen.  

Bekannte Angriffe

Im Juni 2024 beobachtete Darktrace mehrere Ransomware-Angriffe in Kundenumgebungen, darunter einen, bei dem vom ersten Zugriff bis zur vollständigen Dateiverschlüsselung weniger als zwei Stunden vergingen. Dies war der erste Angriff, der die Geschwindigkeit und Raffinesse von Fog demonstrierte. Zu den Angriffsmethoden gehörten ausgehende NTLM-Authentifizierungsversuche an ein anderes internes Gerät, das dann verwendet wurde, um eine Fernverbindung zu einem Windows-Server herzustellen, auf dem Hyper-V ausgeführt wurde. Dieser Angriff zeichnete sich durch seine Geschwindigkeit und Effizienz aus und ist einer der ersten Indikatoren dafür, dass mehrere Fog-Akteure in Echtzeit zusammenarbeiten. 

Einer der interessantesten Angriffe fand im August 2024 statt, als Fog ein Finanzdienstleistungsunternehmen ins Visier nahm. Eindringlinge meldeten sich mit gestohlenen Zugangsdaten über ein VPN-Konto an. Sicherheitsteams verfolgten die IP dieses Eindringlings nach Moskau und lieferten den Forschern damit den ersten Beweis für die russische Herkunft von Fog. Der Angriff war zudem einer der ersten, der sich gegen einen anderen Sektor als das Bildungswesen richtete.  Der Angriff wurde vor der Verschlüsselung erkannt und war daher erfolglos.

Fog-Bedrohungsakteure sahen es im Juli 2023 auf die brasilianischen Regierungsministerien ab, was zur Kompromittierung von neun Ministerien, der Münzprägeanstalt des Landes und der Anti-Geldwäsche-Behörde führte. Die Angreifer forderten 1,2 Millionen $, es gibt jedoch keine Beweise dafür, dass ein Lösegeld gezahlt wurde. Der Vorfall wird derzeit noch untersucht.

Fog bekannte sich in der Lösegeldforderung zu diesem Angriff und das Opfer ist auf der Fog-Leak-Site aufgeführt. Tatsächlich ereignete sich der Angriff jedoch neun Monate, bevor Fog als Bedrohung auftauchte. Dies ist möglich, weil sich das Auftreten einer Bedrohung im Allgemeinen darauf bezieht, dass eine Bedrohung beobachtet und öffentlich anerkannt wird. Zwischen dem ersten Angriff und der ersten Beobachtung durch die Industrie/Forscher kann eine erhebliche Zeitspanne liegen. Sobald eine Bedrohung auftritt, beginnen Forscher, die neue Bedrohung mit alten Angriffen in Verbindung zu bringen. Dies wird als „retrospektive Verknüpfung“ bezeichnet.

Verteidigen Sie sich

Die Abwehr von Fog und anderen Ransomware-Bedrohungen beginnt mit Best Practices und mehrschichtiger Sicherheit. Beginnen Sie mit starken Authentifizierungssystemen, die Multifaktor-Authentifizierung (MFA) und Zero-Trust-Zugriff beinhalten. Pflegen Sie ein leistungsstarkes Patch-Management-System und schließen Sie technische Schwachstellen wie ungenutzte VPN-Konten.

Sie können die Bewegungsfreiheit von Eindringlingen einschränken, indem Sie Netzwerke segmentieren und vertrauliche Daten und Backup-Systeme isolieren. Zero Trust Access ermöglicht Mikrosegmentierung durch Isolierung einzelner Workloads und Anwendung einer kontinuierlichen Überprüfung über Benutzer und Geräte hinweg.

Erwägen Sie, Ihr Netzwerk mit Barracuda Managed XDR um fortschrittliche Sicherheit zu erweitern. Diese Lösung kann die bösartigen Aktivitäten von Fog erkennen und stoppen, bevor es zur Verschlüsselung und Datenexfiltration kommt. In unserem Blog finden Sie eine minutengenaue Aufschlüsselung, wie unser Team einen Angriff der Ransomware Akira stoppte.

Verwenden Sie eine erstklassige Backup-Lösung, um Ihre Daten, Systemzustände und Gerätekonfigurationen, Datenbanken, virtuelle Maschinen, Entra ID-Daten, SharePoint- und Microsoft 365-Bereitstellungen und alles andere zu schützen, was Sie sich nicht leisten können zu verlieren. Barracuda bietet mehrere Data-Protection-Lösungen für lokale, Cloud- und Hybridumgebungen.  

Und schließlich sollten Sie für Ihre Mitarbeiter ein aktuelles Schulungsprogramm zur Stärkung des Risikobewusstseins anbieten. Alle Netzwerkbenutzer sollten wissen, wie sie verdächtige E-Mails erkennen. Investieren Sie in ein Schulungsprogramm, das Angriffe mit Beispielen der aktuellsten Phishing-Kampagnen simulieren kann.

Barracuda kann helfen

Die Sicherheitslösungen von Barracuda basieren auf KI und globaler Bedrohungsintelligenz. Unsere Lösungen verteidigen alle Angriffsvektoren mit fortschrittlichem Bedrohungsschutz und automatisierter Reaktion auf Vorfälle, die lösungsübergreifend orchestriert werden können. Besuchen Sie unsere Website, um eine Demo zu vereinbaren und zu sehen, wie sie zum Schutz Ihrer Umgebung beitragen kann.