Fog ransomware : flambée d'attaques via VPN compromis aux USA

Ce qui s'est passé avec Fog ransomware

La nuit du 13 au 14 mai 2026, plusieurs sociétés de threat intelligence — dont Cyber Security News, GBHackers et Best Antivirus Pro — ont publié des bulletins concordants signalant un pic inhabituel de déploiements du rançongiciel Fog contre des organisations basées aux États-Unis. Les télémétries agrégées sur les 24 dernières heures font état d'une augmentation simultanée des attaques visant les infrastructures télécoms, du déploiement à grande vitesse de Fog sur des serveurs non patchés, et de campagnes de phishing sophistiquées utilisant des pièces jointes PDF corrompues comme vecteur d'accès initial complémentaire.

Fog est un opérateur connu depuis mai 2024, identifié pour la première fois par Kroll lors d'une vague d'attaques contre l'enseignement supérieur américain. Le groupe a depuis élargi son spectre aux secteurs banque-assurance, santé et services financiers, et il alterne entre des campagnes opportunistes et des actions ciblées. Sa signature opérationnelle est désormais bien documentée : exploitation d'identifiants VPN volés (Cisco AnyConnect, Fortinet SSL VPN, SonicWall NetExtender, Palo Alto GlobalProtect), absence d'exploitation de zéro-day, et chaînage avec des outils légitimes de l'écosystème Windows pour limiter la détection. La société Symantec, dans son rapport publié par security.com, décrit un toolkit combinant SoftPerfect Network Scanner, AnyDesk, RustDesk et des scripts PowerShell custom.

La cinématique d'attaque observée cette semaine reprend ce schéma. Les opérateurs achètent ou louent des identifiants VPN valides sur des forums underground, souvent issus de logs d'infostealers (RedLine, Lumma, StealC) capturés sur des postes corporate ou personnels d'employés. Une fois la session VPN établie depuis un nœud résidentiel ou un proxy bulletproof, le trafic se fond dans les connexions légitimes des collaborateurs. Le contournement de la MFA est obtenu soit par l'usage de tokens cookies dérobés, soit par MFA fatigue (envoi répété de prompts push jusqu'à acceptation), soit lorsque la MFA n'est tout simplement pas activée sur le compte concerné — un cas encore très répandu sur les comptes prestataires ou de service.

Après l'accès initial, Fog cartographie le réseau interne via du scan TCP/445 et TCP/3389, identifie les serveurs de sauvegarde et les contrôleurs de domaine, puis pivote latéralement en exploitant des comptes administrateurs faibles ou en récupérant des hashes NTLM via Mimikatz ou des dumps LSASS. La phase finale consiste à supprimer méthodiquement les Volume Shadow Copies via vssadmin delete shadows /all /quiet, à désinstaller les solutions EDR lorsque c'est possible, et à lancer le chiffrement sur les serveurs critiques. Les chercheurs observent dans cette vague une accélération du temps moyen entre l'accès initial et le chiffrement, désormais inférieur à 6 heures, contre 12 à 24 heures lors des campagnes 2024-2025.

L'extorsion suit le modèle double éprouvé. Avant chiffrement, plusieurs centaines de gigaoctets de données sont exfiltrées via Rclone vers des buckets MEGA, Backblaze ou des serveurs WebDAV contrôlés par le groupe. Les victimes qui refusent de payer voient leurs données publiées sur le DLS (Data Leak Site) de Fog, hébergé sur le réseau Tor. Le groupe pratique l'humiliation publique avec des extraits ciblés (contrats, mails compromettants, données RH) pour accroître la pression médiatique et juridique sur la cible.

La particularité de la vague actuelle, selon GBHackers et Computer Weekly, tient à trois éléments. D'abord, la concentration temporelle : plus de 40 organisations touchées en moins de 12 heures, ce qui suggère une opération coordonnée plutôt que des attaques opportunistes. Ensuite, l'élargissement sectoriel à des entreprises télécoms et FAI régionaux, qui n'étaient pas la cible historique du groupe. Enfin, la sophistication accrue du loader, qui utilise désormais un binaire signé numériquement avec un certificat volé chez un éditeur asiatique, contournant SmartScreen et plusieurs solutions EDR de gamme moyenne.

Les recommandations défensives, relayées par le CISA et plusieurs CERT régionaux, se concentrent sur trois axes. Le premier est la rotation immédiate des identifiants VPN, particulièrement pour les comptes inactifs, prestataires et anciens employés. Le deuxième est l'activation systématique d'une MFA résistante au phishing (FIDO2, passkeys, clés matérielles), avec une attention particulière sur les comptes administrateurs et de service. Le troisième est la surveillance proactive des comportements anormaux côté VPN : connexions depuis des géolocalisations inhabituelles, horaires atypiques, transferts de données massifs sortants.

Côté sauvegardes, le CISA insiste sur la règle 3-2-1-1-0 : trois copies des données, sur deux supports différents, dont une hors site, une déconnectée (air-gapped ou immutable), et zéro erreur lors des tests de restauration. Les attaques Fog ciblent systématiquement les sauvegardes Veeam, Commvault et Rubrik exposées en réseau ; les snapshots stockés sur le même domaine Active Directory que la production sont considérés comme compromis dès l'accès initial obtenu.

Pourquoi cette vague Fog illustre un basculement

Le pic actuel n'est pas tant un événement isolé qu'un symptôme. Le rapport Securelist sur l'état du rançongiciel en 2026 souligne que Fog incarne un modèle opérationnel devenu dominant : l'attaquant n'a plus besoin de compétences offensives élevées car il achète l'accès initial sur un marché secondaire mature. Cette industrialisation découple la phase de compromission — désormais externalisée à des courtiers d'accès initial (Initial Access Brokers, IAB) — de la phase de monétisation. Le résultat est une démocratisation des attaques : un opérateur de second rang peut, avec un budget de quelques milliers de dollars en identifiants VPN, frapper simultanément des dizaines d'entreprises.

Pour les RSSI, ce basculement impose une révision des priorités. La défense périmétrique classique — pare-feu, IDS, VPN d'entreprise — ne suffit plus dès lors que l'attaquant entre par la grande porte avec des identifiants valides. La stratégie pertinente devient une combinaison d'identity-centric security (Zero Trust, segmentation, contrôles continus d'authentification) et de détection comportementale (UEBA, EDR avec capacités XDR, supervision des flux Active Directory). Le coût annuel de cette pile dépasse souvent celui de la suite de productivité Microsoft 365, ce qui pose des arbitrages budgétaires majeurs pour les PME et ETI.

L'angle assurantiel est également déterminant. Les assureurs cyber, dont Beazley, Munich Re et AXA XL, conditionnent désormais la souscription à la mise en place effective de MFA résistante au phishing, de sauvegardes immutables et d'un EDR managé. Une organisation victime de Fog sans MFA opérationnelle sur ses VPN s'expose à un refus de couverture sur la clause de négligence grave. Le marché de l'assurance cyber, encore en consolidation après les pertes massives 2020-2023, ne tolère plus les angles morts évidents.

Enfin, l'ampleur géographique de la vague — concentrée sur les États-Unis cette nuit, mais avec des prolongements observés au Royaume-Uni et au Canada — rappelle que le rançongiciel reste un risque systémique transfrontalier. Le Counter Ransomware Initiative regroupant 50 États plaide pour un partage accru de renseignement technique, mais les obstacles juridiques et la fragmentation des CERT nationaux limitent encore la rapidité de la réponse coordonnée. Côté français, l'ANSSI rappelle régulièrement l'importance de la déclaration d'incident dans le cadre LOPMI et NIS2, avec des sanctions accrues à compter de l'automne 2026.

Ce qu'il faut retenir

• Le vecteur VPN compromis est désormais la porte d'entrée principale du rançongiciel Fog ; la rotation des identifiants et la MFA résistante au phishing sont prioritaires.
• Les sauvegardes immutables et déconnectées sont le seul rempart fiable face au modèle de double extorsion observé.
• Les assureurs cyber excluent désormais la couverture en cas d'absence de MFA opérationnelle sur les accès distants critiques.