Специалисты постоянно отслеживают эволюцию методов киберпреступников. Аналитики Глобального центра исследований и анализа угроз Kaspersky GReAT обнаружили новую особенность в действиях группы Fog: помимо украденной информации, злоумышленники начали раскрывать IP-адреса пораженных систем. Ранее такой подход не встречался среди операторов ransomware. Далее мы объясним значимость этого изменения и возможные мотивы атакующих.
Операция Fog: особенности деятельности
Кибервымогательство давно переросло в структурированную индустрию с четким разделением ролей. Разработчики вредоносных платформ и исполнители атак теперь часто действуют независимо — первые создают инструменты, вторые приобретают их по модели Ransomware-as-a-Service (RaaS).
Шифровальщик Fog впервые был зафиксирован в начале 2024 года. Его модификации атакуют компьютеры на Windows и Linux. Как и другие современные группы, злоумышленники не только блокируют данные, но и похищают файлы, угрожая их публикацией на Tor-портале при отказе от выплаты.
Основными целями атак становились организации из образовательного сектора, финансовой отрасли и индустрии развлечений. Для проникновения в корпоративные сети преступники часто использовали компрометированные VPN-учетные данные из предыдущих утечек.
Мотивация раскрытия IP-адресов
По оценкам экспертов, публикация сетевых адресов усиливает психологическое воздействие на жертв по двум причинам:
- Это повышает прозрачность инцидента для внешних наблюдателей. В отличие от названия компании, IP-адрес позволяет определить тип атакованного ресурса (сервер, рабочая станция), что увеличивает репутационные риски и вероятность судебных исков или регуляторных санкций.
- Раскрытые адреса становятся мишенями для других киберпреступных группировок. Зная о существовании уязвимой системы и имея доступ к похищенным данным, злоумышленники могут проводить дополнительные атаки на инфраструктуру организации.
Оба фактора повышают давление на жертву, подталкивая к выплате выкупа.
Рекомендации по защите
Поскольку большинство инцидентов начинается с человеческого фактора, критически важно регулярно обучать сотрудников основам кибербезопасности через специализированные тренинги.
Дополнительные меры защиты включают:
- Резервное копирование данных с хранением копий вне производственной сети
- Установка современных антивирусных решений на все корпоративные устройства
- Мониторинг инфраструктуры с помощью XDR-систем для крупных организаций
- Привлечение внешних экспертов по кибербезопасности при необходимости