Visitez notre kiosque à CANSEC les 27-28 mai
Livres blancs
·
10.10.2024

FOG: anatomie d'un ransomware sophistiqué piloté par configuration JSON

Icone PDF StreamScan Analyse Ransomware FOG

StreamScan présente une analyse technique approfondie du ransomware FOG, révélant une architecture modulaire et configurable qui le distingue des malwares traditionnels.

Une architecture pilotée par configuration

FOG intègre directement dans son code un fichier de configuration JSON crypté qui dicte l'ensemble de son comportement. Cette approche modulaire permet aux attaquants de personnaliser chaque déploiement sans modifier le code source. Le fichier JSON contient des champs critiques comme PathStopList (fichiers à épargner), FileMaskStopList (noms à ignorer), ShutdownProcesses et ShutdownServices (processus et services à terminer), RSAPubKey (clé publique de chiffrement), LockedExt (extension des fichiers chiffrés), et NoteFileName (nom de la note de rançon).

Techniques d'évasion et de persistance

Le malware emploie plusieurs techniques sophistiquées. Il utilise "API harvesting" (récolte d'API) pour résoudre dynamiquement les fonctions système, compliquant l'analyse statique. Un mutex généré aléatoirement garantit qu'une seule instance s'exécute simultanément. FOG crée un fichier DbLog.sys pour consigner ses opérations, facilitant le débogage pour les développeurs du malware.

Stratégie de chiffrement méthodique

Le processus d'infection suit une séquence rigoureuse: scan des volumes montés (lecteurs amovibles, fixes, disques RAM), énumération des partages réseau, arrêt ciblé de services et processus selon la configuration JSON, puis chiffrement adaptatif utilisant différentes routines selon la taille des fichiers. L'algorithme RSA (ou une variante) protège les données avec la clé publique intégrée.

Destruction des sauvegardes

Comme coup de grâce, FOG exécute vssadmin pour supprimer les clichés instantanés (Shadow Copies), empêchant toute restauration système. Cette tactique classique mais dévastatrice force les victimes à choisir entre payer la rançon ou perdre définitivement leurs données.

L'EDR StreamScan détecte et bloque efficacement FOG grâce à son analyse comportementale, comme le démontrent les captures d'écran de l'interface de détection.

Articles
·
13.05.2026
Le mythe de la « compensation » des investissements en cybersécurité
Sauvegarde des données: si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération ?
Articles
·
14.04.2026
14 avril 2026 - Le gouvernement du Canada lance le niveau 1 du Programme canadien de certification en cybersécurité
Ce jour 14 avril 2026, le gouvernement fédéral canadien lance officiellement la certification CPCSC (PCCC) Niveau 1 . Elle sera exigée dans les contrats fédéraux à partir de l’été 2026. CPCSC Niveau 1 est composée de 13 contrôles.

Votre sécurité mérite une conversation

Contactez-nous
AccueilPlateforme XDRStreamEnclaveEDRMDRRéponse aux incidentsCertification CMMCCertification PCCCPolitique de confidentialitéPolitique des cookies
PartenairesÀ proposCarrièresBlogueVidéos et webinairesOutilsLivres blancsRecherchesStratégie de cybersécuritéTest d'intrusionContactez-nous
Solutions de cybersécurité de pointes adaptées aux organisations qui évoluent dans des environnements complexes.
Logo de STREAMSCAN avec le slogan '100% pensé pour optimiser'.
StreamScan a besoin des informations que vous nous fournissez pour vous envoyer notre infolettre. Vous pouvez vous désabonner de nos communications à tout moment. Pour plus d'informations, consultez notre politique de confidentialité.