Группа «Fog» впервые была замечена в начале мая этого года, а уже к концу мая она провела множество успешных атак. Хакеры быстро проникают в системы, шифруют данные в виртуальных средах и оставляют записки с требованиями выкупа. Исследователи считают, что злоумышленники заинтересованы в быстром получении выкупа, а не в проведении более сложных атак. Сейчас группировка атакует организации в США, но не исключено и расширение интересов киберпреступников. Примечательно, что 80% от всех атак пришлось на образовательные учреждения.
Эксперты отмечают, что атаки «Fog» обычно начинаются с использования украденных учетных данных виртуальных частных сетей (VPN). Этот способ в последнее время становится всё популярнее для доступа в крупные организации.
К другим методам «Fog» относятся – перебор учетных данных, использование стандартных инструментов Windows и открытых источников, таких как Metasploit и PsExec, отключение Windows Defender и использование Tor для связи с жертвами.
Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко считает, что подобные атаки вполне могут быть направлены и на российские образовательные учреждения. «Хакерские группировки руководствуются законами экономики и в большинстве своем имеют ограниченные ресурсы. Из этих двух факторов следует, что часто недофинансированная сфера образования, особенно в направление информационной безопасности – заманчивый вариант для хакерских атак. Недавний случай атаки на РАНХиГС демонстрирует, что инциденты уже происходят и могут динамично развиваться и в российских образовательных учреждениях. Для оперативного реагирования на кибератаки и принятия своевременных мер, когда хакеры получают доступ к учетной записи администратора, рекомендуется использовать продвинутые системы обнаружения аномалий, например, Ankey ASAP».