Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 452 Tage inaktiv Ransomware-Gruppe · Profil

Fog

189Opfer gesamt
0Opfer (30 Tage)
16.07.2024Erstes Auftreten
InaktivStatus

Überblick

Fog ist eine Ransomware, deren Operationen mit dem Bedrohungsakteur Storm-0844 in Verbindung gebracht werden. Dieser Akteur ist bereits durch die Verbreitung der Ransomware Akira bekannt geworden und hat sein Vorgehen erweitert, indem er zunehmend Fog zum Einsatz bringt – im Verlauf seiner Kampagnen sogar in stärkerem Umfang als zuvor Akira. Ein charakteristisches Erkennungsmerkmal von Fog ist die Dateiendung „.flocked“, die den durch die Verschlüsselung unbrauchbar gemachten Dateien angehängt wird. Damit ordnet sich Fog in das Umfeld professionell agierender Ransomware-Operationen ein, das von einem etablierten Akteur betrieben und parallel zu einer bereits bekannten Schadsoftware-Familie ausgerollt wird.

Taktiken & Vorgehen

Das Vorgehen der Gruppe stützt sich auf ein breites Werkzeugarsenal. Zum Abgreifen von Zugangsdaten und zum Angriff auf Verzeichnisdienste kommen DonPAPI, Veeam-Get-Creds, Certipy, Orpheus und Zer0dump zum Einsatz. Für die Erkundung des Netzwerks werden der Advanced Port Scanner, SoftPerfect NetScan und SharpShares genutzt. Die seitliche Bewegung im Netz sowie die Ausführung von Befehlen erfolgen über PsExec, Impacket und NetExec. Zur Steuerung kompromittierter Systeme und für Tunnelverbindungen setzt die Gruppe Sliver, Metasploit, Powercat und Proxychains ein. Für dauerhaften Fernzugriff wird zudem das legitime Fernwartungswerkzeug AnyDesk missbraucht.

Schutzmaßnahmen

Da Werkzeuge wie DonPAPI, Veeam-Get-Creds, Certipy, Orpheus und Zer0dump auf den Diebstahl von Zugangsdaten und den Missbrauch von Verzeichnisdiensten zielen, sollten privilegierte Konten gehärtet und die Zertifikats- und Active-Directory-Infrastruktur überwacht werden. Gegen Erkundung mittels Advanced Port Scanner, SoftPerfect NetScan und SharpShares sowie seitliche Bewegung über PsExec, Impacket und NetExec sollte das Netzwerk segmentiert und die Nutzung administrativer Protokolle protokolliert werden. Der missbräuchliche Einsatz von AnyDesk sollte durch eine Kontrolle zugelassener Fernwartungssoftware unterbunden werden. Verbindungen zu Steuerungswerkzeugen wie Sliver, Metasploit, Powercat und Proxychains sollten am Netzwerkrand erkannt und blockiert werden.

Chronologie

  1. 16.07.2024 Erste bekannte Aktivität
  2. 20.03.2025 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.