Fog é o nome de uma nova ameaça cibernética que vem se destacando entre os pesquisadores de segurança pelo seu nível de sofisticação e sigilo. Essa família de ransomware adota uma estratégia ousada: utiliza ferramentas legítimas e open-source, além de comprometer conexões VPN para invadir ambientes empresariais e executar seus ataques com altíssima eficácia e discrição.
Neste artigo, o Blog Dolutech explica em detalhes o funcionamento do Fog ransomware, os vetores de ataque mais comuns, as ferramentas utilizadas, os alvos preferenciais e as melhores formas de defesa.
O que é o Fog Ransomware?
O Fog ransomware foi identificado em 2024, inicialmente voltado a instituições de ensino nos Estados Unidos. No entanto em 2025, sua atuação rapidamente se expandiu para os setores financeiro, corporativo e governamental. Seu diferencial está na utilização de ferramentas legítimas (como softwares de monitoramento e controle remoto), utilitários open-source, e na infiltração por meio de VPNs comprometidas, técnicas que dificultam a detecção por soluções tradicionais de segurança.
Vetor de Acesso: VPNs Comprometidas
O principal ponto de entrada do Fog tem sido conexões VPN SSL exploradas por credenciais vazadas ou explorando falhas conhecidas. Em especial, falhas em dispositivos SonicWall, como a CVE-2024-40766, têm sido amplamente exploradas.
Após obter acesso ao ambiente, os operadores do Fog realizam rapidamente ações como:
- Escalonamento de privilégios
- Desativação de antivírus
- Movimentação lateral silenciosa
Ferramentas Open Source e Legítimas Utilizadas
Uma característica marcante do Fog é sua dependência de ferramentas públicas e legítimas, incluindo:
- Syteca (ex-Ekran): software de monitoramento de funcionários utilizado para capturar senhas e atividades em tela.
- Stowaway: proxy multi-hop que permite comunicação oculta entre hosts e exfiltração de dados sem detecção.
- SMBExec / Impacket: ferramentas para execução remota de comandos via SMB.
- GC2: backdoor que utiliza Google Sheets ou SharePoint como canal C2 (command & control).
- MegaSync / FreeFileSync / 7-Zip: usados para empacotar e exfiltrar grandes volumes de dados.
- Adapt2x / Watchdog: utilizados para garantir persistência, reiniciar serviços ou implantar cargas adicionais.
Esse arsenal é praticamente impossível de ser bloqueado sem comprometer operações normais, o que confere um grande diferencial ao Fog.
Cadeia de Ataque
A cadeia de ataque do Fog é rápida e meticulosa:
- Infiltração por VPN
- Elevação de privilégios
- Implantação de ferramentas como Syteca para roubo de credenciais
- Movimentação lateral usando SMBExec e Stowaway
- Backdoor persistente via GC2
- Exfiltração de dados
- Criptografia com extensão
.flockedou.fog
Um único ataque pode levar menos de 2 horas da invasão à criptografia completa do ambiente.
O modelo de extorsão
O Fog utiliza a técnica de dupla extorsão. Ou seja, além de criptografar os dados localmente, ele também os exfiltra para garantir que a vítima pague o resgate para evitar o vazamento público.
A ameaça inclui:
- Divulgação de dados corporativos
- Exposição de segredos comerciais
- Divulgação de informações de clientes e colaboradores
- Notas de resgate com linguagem sarcástica ou provocativa, visando pressionar psicologicamente os gestores
Impacto Global
O impacto do Fog ransomware já é percebido em diversos setores e regiões:
- Educação
- Setor financeiro
- Manufatura
- Empresas de tecnologia
- Serviços governamentais
Organizações em países com infraestrutura VPN desatualizada são os alvos preferenciais.
Indicadores de Comprometimento (IoCs)
Os principais indicadores de um ambiente comprometido incluem:
- Processos relacionados ao Syteca em endpoints
- Conexões de saída para Stowaway
- Scripts PowerShell não assinados sendo executados com privilégios elevados
- Comunicação com Google Sheets ou SharePoint fora do padrão
- Presença de arquivos
.fogou.flocked - Exfiltração via Mega.nz ou outros serviços em nuvem não autorizados
Como se proteger do Fog Ransomware
A Dolutech recomenda um conjunto de boas práticas para mitigar os riscos:
1. Atualização de VPNs
Aplique patches em todas as suas appliances, especialmente SonicWall e Fortinet.
2. MFA em tudo
A autenticação de dois fatores deve ser obrigatória para conexões VPN, SSH, RDP e acesso administrativo.
3. Monitoramento de Ferramentas Legítimas
Use sistemas de whitelisting e EDR para detectar uso indevido de ferramentas como Syteca, Impacket ou GC2.
4. Segregação de Rede
Divida sua rede em zonas com diferentes níveis de privilégio. Evite ambientes planos.
5. Backups offline
Mantenha cópias de segurança criptografadas e inacessíveis via rede (airgapped).
6. Auditorias constantes
Reveja logs de VPN, Windows Event Viewer, PowerShell e conexões DNS suspeitas.
7. Simulações de phishing e treino de usuários
Os operadores do Fog exploram a engenharia social e a confiança de operadores. Eduque sua equipe.
Conclusão
O Fog ransomware é mais do que uma simples campanha de malware: é uma evolução na forma como os ataques cibernéticos são orquestrados. Ao usar ferramentas legítimas, explorar VPNs desprotegidas e operar com rapidez cirúrgica, ele consegue se infiltrar, roubar e criptografar dados antes que os sistemas de defesa tradicionais possam reagir.
Aqui na Dolutech, defendemos a prevenção inteligente e proativa como a melhor defesa. Revisar suas configurações de rede, controlar acessos e monitorar ferramentas open-source é essencial para sobreviver à nova geração de ameaças como o Fog.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.