Zoom sur le ransomware Fog

Le ransomware Fog est apparu en avril 2024 comme une cybermenace sophistiquée combinant un chiffrement rapide et une double extorsion. Les cybercriminels Fog ont initialement ciblé les établissements d'enseignement en compromettant des comptes VPN. Ils ont rapidement étendu leur champ d'action aux agences gouvernementales et aux secteurs commerciaux. En février 2025, les cinq principaux secteurs victimes de Fog sont les services aux entreprises, la technologie, l'éducation, l'industrie manufacturière et les administrations publiques. La plupart des victimes de Fog sont basées aux États-Unis.

Les chercheurs soupçonnent les cybercriminels de Fog d'opérer depuis la Russie ou d'autres anciens pays soviétiques, car ils évitent manifestement de cibler les pays d'Europe de l'Est et la République populaire de Chine. Lors d'une attaque menée en 2024, les chercheurs ont retracé l'origine de l'adresse IP liée à Fog jusqu'à Moscou.

Groupe ou variante ?

Les analystes ont pris soin de distinguer le ransomware Fog comme une variante plutôt que comme un groupe de menaces. Il ne semble pas y avoir de preuve d'une opération centralisée derrière l'utilisation de Fog. Il peut être utilisé par différents cybercriminels pour mener des attaques, et les développeurs sont distincts de ceux qui effectuent les intrusions.

Les affiliés Ransomware-as-a-Service (RaaS) opèrent également indépendamment des développeurs de ransomware, mais il existe toujours des preuves d'une hiérarchie organisationnelle ou d'une séparation des tâches à l'origine du logiciel. Il existe des règles et des structures de paiement pour les affiliés. Nous ne pouvons pas considérer Fog comme une opération RaaS car elle ne correspond pas à cette description.

Nous ne pouvons pas exclure la possibilité que Fog soit ou ait été destiné à être utilisé dans le cadre d'une opération RaaS. Sa conception modulaire permet aux pirates de contrôler ce qui est chiffré, le rythme de l'attaque, l'étendue du chiffrement et le contenu de la demande de rançon. Il est possible qu'il ait été développé dans l'optique d'une opération RaaS.

Bien que Fog ne semble pas désigner une seule organisation, il correspond aux paramètres généralement associés à un « groupe de cybercriminels ». Les pirates Fog partagent une infrastructure et des malwares, ils ont des tactiques, techniques et procédures (TTP) communes, et ils utilisent des e-mails d'hameçonnage, des demandes de rançon et des chats de négociation similaires d'une attaque à l'autre. Il existe également un site de divulgation et un portail de négociation sous la marque Fog, ce qui signifie que ces cybercriminels coordonnent leur communication avec les victimes.

Des acteurs de Fog ont également été observés en train de communiquer lors d'attaques à l'aide de serveurs de commande et de contrôle (C2C) et de canaux de communication chiffrés.

Fog en chiffres

Sur la base des données disponibles, les analystes ont calculé les paramètres suivants :

• Nombre de victimes signalées publiquement : 189 en avril 2025
• Demande de rançon initiale moyenne : 220 000 $
• Paiement médian de rançon : 100 000 $  

Le montant collecté par Fog est inconnu. Si toutes les victimes déclarées publiquement payaient la rançon médiane, cela représenterait 18,9 millions de dollars. Nous savons que toutes les victimes ne paient pas la rançon et que tous les incidents ne sont pas signalés. Une enquête récente a révélé que 86 % des organisations (au niveau mondial) avait payé des rançons au cours de l'année écoulée, ce qui est intéressant, mais ne s'applique probablement pas aux victimes de Fog.

Rien n'indique que les cybercriminels à l'origine de Fog soient motivés par autre chose que l'argent. Ils n'ont pas déclaré d'allégeance à un État-nation ni manifesté leur soutien à une idéologie ou à une cause.

Fonctionnement de Fog

Fog se propage généralement par l'un des moyens d'accès initiaux suivants :

• Comptes VPN SonicWall compromis : ces comptes sont généralement achetés par l'intermédiaire d'un courtier d'accès initial (IAB) mais peuvent être volés directement lors de campagnes d'hameçonnage.
• Exploitation des vulnérabilités : le groupe cible activement les logiciels non corrigés, en particulier Veeam Backup & Replication (CVE-2024-40711)
• Campagnes d'hameçonnage : les cybercriminels Fog utilisent des campagnes d'hameçonnage pour déployer le chargeur de ransomware. Ces e-mails se présentent généralement comme une demande de mise à jour du VPN, une demande de facture impayée et une notification de modification de la politique des ressources humaines (RH). Les pièces jointes agissent différemment, mais toutes entraînent des tentatives de téléchargement du chargeur de ransomware Fog.

Des campagnes de hameçonnage récentes ont utilisé des e-mails d'hameçonnage contenant en pièce jointe un fichier ZIP contenant un raccourci LNK malveillant. Le fichier LNK exécute une commande qui télécharge un script PowerShell nommé « stage1.ps1 » à partir d'un domaine contrôlé par un pirate. Le script télécharge ensuite plusieurs charges utiles et fichiers de support. Les demandes de rançon associées à ces attaques ont aggravé la situation en se moquant des victimes en faisant référence à Edward Coristine et au Département américain de l'efficacité gouvernementale (DOGE). 

Les chercheurs ont découvert qu'il n'y avait aucun lien réel entre le ransomware Fog et DOGE.

Une fois dans le système, Fog commence immédiatement la reconnaissance du système et tente d'établir une persistance en modifiant les configurations du système et en déployant des scripts supplémentaires qui maintiennent le malware actif après un redémarrage du système. L'étape suivante consiste à prendre le contrôle administratif en utilisant des outils tels que Mimikatz et des techniques telles que le dumping de la mémoire LSASS et les attaques par relais NTLM. Fog établira également des mesures anti-récupération, comme le chiffrement des backups et la suppression des copies fantômes des volumes.

L'attaque se poursuit par un déplacement latéral et l'exfiltration de données. Les cybercriminels de Fog utilisent le service cloud Mega.nz pour stocker les données volées avant de chiffrer le réseau. Ceci met en place le système de double extorsion. Une fois cette opération terminée, Fog cryptera les documents, les bases de données, les backups et toutes les autres données opérationnelles critiques. Les extensions .fog, .Fog ou .FLOCKED sont ajoutés aux fichiers chiffrés et aux demandes de rançon nommées « readme.txt » sont distribués sur le réseau. Les informations relatives à la victime sont ajoutées au site de divulgation de fuites de données Fog. 

Après l'attaque

Les tactiques de négociation sont les mêmes que celles des autres groupes. 

Si vous souhaitez que vos données soient entièrement déchiffrées et que les fichiers que nous avons volés soient retirés de notre source, vous devrez payer une rançon. Nous pourrons également fournir un rapport de sécurité et expliquer comment nous avons procédé pour entrer. (source)

Fog commence par demander une rançon élevée, puis accepte un compromis sur un montant inférieur s'il est acceptable. 

Après paiement, Fog enverra les clés de déchiffrement et confirmera la suppression des données volées. Dans deux des discussions disponibles ici, la victime a eu des difficultés à remonter la pente et a dû résoudre les problèmes avec le cybercriminel :

Le rapport de sécurité promis par Fog n’est probablement pas utile pour les victimes qui suivent déjà les meilleures pratiques. 

L'accès à votre réseau a été obtenu via un e-mail de hameçonnage. Votre personnel devrait faire preuve de plus de vigilance lorsqu'il s'agit de télécharger et d'ouvrir des fichiers inconnus. Nous vous recommandons de mettre en œuvre les mesures suivantes pour protéger votre réseau d'entreprise : 1) Obliger les administrateurs locaux et de domaine à utiliser des mots de passe. Complexifier la politique de groupe sur les mots de passe pour tous les utilisateurs ; 2) Utiliser le groupe « Utilisateurs protégés » ; 3) Utiliser la gestion centralisée de la protection antivirus ; 4) Informer les utilisateurs de ne pas ouvrir les e-mails et fichiers suspects ; 5) Mettre à jour les logiciels et le système d'exploitation vers les versions actuelles ; 6) Configurer les délégations d'autorisations dans Active Directory ; 7) Installer une application pour surveiller l'activité dans Active Directory ; 8) Utiliser Vmware Esxi ver. 7.0 ou plus récente. Notre équipe garantit que les données extraites de votre réseau ne seront ni divulguées, ni vendues, ni publiées. Bien entendu, ce dialogue restera également confidentiel. (source)

Le langage est similaire aux « rapports de sécurité détaillés » fournis par Akira.

Amis et famille

Fog a à peine un an, mais les chercheurs pensent que ses opérateurs sont des acteurs expérimentés en matière de menaces de ransomware. Une analyse des intrusions de Fog via des comptes VPN SonicWall piratés montre que 25 % seulement des intrusions étaient liées directement à Fog. Les 75 % restants des intrusions de Fog étaient liés au ransomware Akira, ce qui suggère une collaboration et une infrastructure partagée. Fog et Akira utilisent également des outils et des exploits similaires et sont connus pour leurs techniques de chiffrement rapide.

Fog a également été lié au ransomware Conti via des portefeuilles de cryptomonnaie partagés. Des chercheurs ont établi un lien entre Akira et Conti en 2023. Le lien avec Conti n'est donc pas surprenant, mais il est intéressant pour les enquêteurs et les chercheurs. Voici un aperçu général de la famille Conti :

• Ryuk : août 2018 - début 2022. Issu d’Hermès, il est le précurseur direct de Conti.
• Conti : décembre 2019 - juin 2022. Fermé et divisé en plusieurs groupes.
• Karakurt : émergé en juin 2021 et est toujours actif en 2025. Spin-off de Conti.
• Quantum: a vu le jour en août 2021 et est toujours actif en 2025. Refonte de MountLocker en lien avec Conti.
• BlackByte : émergé à la mi-2021 et est toujours actif en 2025. Affilié à Conti.
• Zeon : janvier 2022 - septembre 2022. Précurseur direct de Royal lié à Conti.
• Royal : septembre 2022 - mi/fin 2023. Refonte de Zeon qui a évolué vers BlackSuit.
• Black Basta : émergé en avril 2022 et toujours actif en 2025. Spin-off de Conti.
• Akira : a vu le jour en mars 2023 et est toujours actif en 2025. Étroitement lié à Conti.
• BlackSuit: a vu le jour à la mi-2023 et est toujours actif en 2025. Refonte ou évolution de Royal.
• Fog : apparu en avril 2024 et toujours actif en 2025. Lié à Akira et Conti.

Conti a été observé pour la première fois en décembre 2019 et était complètement hors ligne en juin 2022. L'analyse du ransomware Fog dans ce contexte souligne le fait que nouveau ne signifie pas inexpérimenté. L’expertise criminelle, les avancées en matière de code et les techniques d’attaque circulent librement entre ces groupes.  

Attaques notables

En juin 2024, Darktrace a observé plusieurs attaques par ransomware Fog dans les environnements clients, dont une qui s’est déroulée en moins de deux heures entre l’accès initial et le chiffrement complet des fichiers. Ce fut la première attaque à démontrer la vitesse et la sophistication de Fog. Les méthodes d'attaque comprenaient des tentatives d'authentification NTLM sortantes vers un autre dispositif interne, qui était ensuite utilisé pour établir une connexion à distance à un serveur Windows fonctionnant sous Hyper-V. Cette attaque a été remarquable pour sa rapidité et son efficacité, et c'est l'un des premiers indicateurs de la collaboration en temps réel entre plusieurs acteurs de Fog. 

L’une des attaques les plus intéressantes a eu lieu en août 2024, lorsque Fog a ciblé une société de services financiers. Des intrus se sont connectés via un compte VPN en utilisant des identifiants volés. Les équipes de sécurité ont retracé l'adresse IP de cet intrus jusqu'à Moscou, fournissant ainsi aux chercheurs les premières preuves des origines russes de Fog. Cette attaque est également l'une des premières à viser un secteur autre que l'éducation.  L'attaque a été détectée avant le chiffrement et n'a donc pas abouti.

Les acteurs de la menace Fog ont ciblé les ministères du gouvernement brésilien en juillet 2023, ce qui a entraîné la compromission de neuf ministères, de la monnaie nationale et de l'agence de lutte contre le blanchiment d'argent. Les pirates ont demandé 1,2 million de dollars, mais rien n'indique qu'une rançon ait été payée. L'incident fait toujours l'objet d'une enquête.

Cette attaque a été revendiquée par Fog dans la demande de rançon et la victime figure sur le site de fuite de données de Fog, mais elle a eu lieu neuf mois avant que Fog ne devienne une menace. C'est possible parce que l'émergence d'une menace fait généralement référence au moment où une menace est observée et reconnue publiquement. Il peut y avoir un délai important entre la première attaque et la première observation du secteur/du chercheur. Après l’apparition d’une menace, les chercheurs commencent à relier la nouvelle menace aux anciennes attaques. C'est ce que l'on appelle un « lien rétrospectif ».

Défendez-vous

Pour se protéger contre Fog et d'autres cybercriminels utilisant des ransomwares, il est essentiel de mettre en œuvre les meilleures pratiques et une sécurité multicouche. Commencez par des systèmes d'authentification forts qui incluent l'authentification multifactorielle (MFA) et l'accès Zero Trust. Maintenez un système de gestion des correctifs efficace et corrigez les vulnérabilités techniques telles que les comptes VPN inutilisés.

Vous pouvez limiter les mouvements des intrus en segmentant les réseaux et en isolant les données sensibles et les systèmes de backup. L'accès zero trust permet une microsegmentation en isolant les workloads individuelles et en appliquant une vérification continue sur les utilisateurs et les appareils.

Pensez à renforcer la sécurité de votre réseau avec Barracuda Managed XDR. Cette solution permet d'identifier et de stopper les activités malveillantes de Fog avant le chiffrement et l'exfiltration des données. Consultez notre blog ici pour découvrir minute par minute comment notre équipe a stoppé une attaque par ransomware Akira.

Utilisez une solution de backup haut de gamme pour protéger vos données, l'état de vos systèmes et la configuration de vos appareils, vos bases de données, vos machines virtuelles, vos données Entra ID, vos déploiements SharePoint et Microsoft 365, ainsi que tout autre élément que vous ne pouvez pas vous permettre de perdre. Barracuda propose de nombreuses solutions de protection des données pour les environnements sur site, sur le cloud et hybrides.  

Enfin, veillez à maintenir à jour un programme de formation de sensibilisation à la sécurité destiné à vos employés. Tous les utilisateurs du réseau doivent savoir reconnaître les e-mails suspects. Investissez dans un programme de formation capable de simuler des attaques avec des échantillons des campagnes d’hameçonnage les plus récentes.

Vous pouvez compter sur Barracuda

Les solutions de sécurité Barracuda s’appuient sur l’IA ainsi que sur une base mondiale de renseignements sur les menaces. Nos solutions défendent sans relâche tous les points d’attaque potentiels en proposant une protection contre les menaces avancées et une réponse automatisée aux incidents qui peut être orchestrée entre les différentes solutions. Visitez notre site Web pour planifier une démonstration et voir comment nous pouvons vous aider à protéger votre environnement.