Ah, le ransomware. Cet art délicat de verrouiller vos fichiers comme un gosse de 5 ans qui cache les télécommandes, tout en vous réclamant une rançon digne d’un roi pour les récupérer. Aujourd’hui, on vous parle d’un petit dernier qui joue dans la cour des grands : Fog, le ransomware brumeux mais pas flou du tout. Et croyez-moi, il n’a rien d’un brouillard romantique de film noir. On est plus proche de la brume toxique d’un datacenter en feu.
⏳ Petit point météo : Brume persistante depuis 2024
Avant de foncer dans les détails techniques, un peu de contexte temporel pour bien poser l’ambiance :
| 🗓️ Quand ? | Quoi ? |
|---|---|
| Avril 2024 | Apparition des premiers échantillons Fog dans la nature. |
| Mai 2024 | Déploiement massif contre des écoles et PME américaines. |
| Juillet 2024 | Passage à la double extorsion + mise en ligne d’un site de fuites (TOR). |
| Août 2024 | 30 attaques chronométrées < 10h grâce à des VPN vulnérables. |
| Février 2025 | 53 victimes répertoriées en un mois sur leur site de fuite. |
| Mars-Avril 2025 | Apparition de l’extension .flocked sur les fichiers chiffrés. |
| Juin 2025 | Confirmation de l’utilisation d’outils open-source + Syteca. |
Moralité : Fog n’est pas une nouveauté, c’est une stratégie qui s’installe. Et si vous êtes une PME, vous êtes déjà dans leur viseur.
🌩️ Le décor : « Legit tools », mauvaise pièce
Les cybercriminels derrière Fog ne se sont pas trop cassés la tête : pourquoi inventer un nouveau malware sophistiqué quand on peut recycler ce qui existe déjà ? L’équipe a donc fait son marché dans le fabuleux monde de l’open-source, ce vivier d’outils accessibles à tous — même aux pirates qui n’ont pas envie de coder.
Et pour corser le tout, ils ont ajouté une cerise sur le gâteau : Syteca, un logiciel de surveillance légitime utilisé en entreprise pour… surveiller l’activité des employés. Ironique ? Non, logique. Pourquoi passer inaperçu quand on peut se déguiser en logiciel de conformité RH ?
🧰 Les outils du crime
Ce qu’on retrouve dans le sac de Mary Poppins version ransomware :
- Chisel : pour faire du tunneling réseau discret.
- Sliver : un framework de post-exploitation open-source.
- PowerShell : classique mais efficace.
- Syteca : pour espionner les utilisateurs sans éveiller les soupçons.
Le tout souvent exécuté via des emails de phishing, des accès RDP mal sécurisés, ou de vieux VPN oubliés.
🧠 Pourquoi ça marche ?
Parce que les bases de la cybersécurité sont souvent… comment dire… vues comme une option.
- Pas de segmentation réseau : un utilisateur infecté = entreprise paralysée.
- Outils légitimes non surveillés : Syteca tourne tranquillement pendant que vos données se font la malle.
- Pas de MFA : l’authentification mono-facteur est toujours tendance en 2025 ?
- Pas de journalisation ni d’alertes : c’est vrai que lire les logs, c’est fatigant.
🎯 Cible : entreprise lambda, toi-même
Fog ne vise pas les méga-corporations blindées. Il préfère les structures moyennes, les collectivités, les boîtes avec un seul admin débordé. La logique : moins de défenses = plus de chances de succès rapide.
Et comme tout bon ransomware nouvelle génération, il vole d’abord les données, puis les chiffre. Double peine, double chantage.
💥 Conséquences : pas de miracle
- Paralysie totale
- Divulgation de données
- Rançon en cryptomonnaie
- Pertes financières + perte d’image
- Enquête interne qui conclut : « on aurait dû faire plus »
🔒 Comment on évite la brume ?
Voici les leçons à tirer (et non, désinstaller Syteca ne suffit pas) :
- Segmentation réseau
- Surveillance active des outils légitimes
- EDR/EDR+ obligatoire
- Formation des utilisateurs (clic = impact)
- Sauvegardes déconnectées
🧾 En conclusion
Fog, c’est l’enfant illégitime de la fainéantise open-source et de l’ingéniosité criminelle. Il est simple, modulaire, rapide. Il infecte, chiffre et vous humilie dans la foulée, le tout avec des outils que vous avez peut-être déjà installés.
Ce n’est plus une question de « si », mais de « quand » — et si votre réseau ressemble à un buffet à volonté pour pentester en herbe, le brouillard arrive.
A lire aussi sur le sujet : Ransomwares : radiographie d’une menace en pleine mutation
