Az Interlock ransomware támadás feltárása
Az Interlock 2024 szeptemberében jelent meg először a nyilvánosság előtt, és megfigyelték, hogy nagyvadakra vadászott és kettős zsarolási támadásokat indított. A csoport különösen sokféle ágazatban működő vállalkozásokat vett célba, amelyek a jelentés időpontjában az adatszivárgási oldal közzététele szerint az Egyesült Államokban az egészségügy, a technológia, a kormányzat és Európában a gyártás területén tevékenykedő vállalkozásokat foglalják magukban, ami azt jelzi, hogy a céljaik opportunista jellegűek. Az Interlock adatszivárgási oldala a „Worldwide Secrets Blog”, amely az áldozatok kiszivárgott adataira mutató linkeket, az áldozatok kommunikációjához chat-támogatást, valamint az „interlock@2mail[.]co” e-mail címet biztosítja.
A Cisco Talos Incident Response (Talos IR) nemrégiben megfigyelt egy támadót, aki úgynevezett big-game hunting-ot és kettős zsarolási támadásokat hajtott végre a viszonylag új Interlock ransomware-rel. A Talos elemzése feltárta, hogy a támadó több komponenst használt a terjesztési láncban, köztük egy hamis böngészőfrissítőnek álcázott Remote Access Toolt (RAT), PowerShell szkripteket, egy credential stealert és egy keyloggert, mielőtt telepítette és engedélyezte a ransomware titkosító binárisát. Azt is megfigyelték, hogy a támadó elsősorban a távoli asztali protokollt (RDP) használta az áldozat hálózatán belüli oldalirányú mozgáshoz, valamint más eszközöket, például az AnyDesk-et és a PuTTY-t. A támadó az Azure Storage Explorert használta, amely az AZCopy segédprogramot használja az áldozat adatainak egy támadó által ellenőrzött Azure tárolóba történő exfiltrálásához.
A támadó tevékenységének idővonala a kezdeti kompromittálási szakasztól a ransomware titkosító binárisának telepítéséig azt mutatja, hogy az áldozat környezetében való tartózkodási idejük körülbelül 17 nap volt. A Talos az üzemeltetők taktikáiban, technikáiban és eljárásaiban (TTP), valamint a ransomware titkosító binárisokban található bizonyos hasonlóságok alapján alacsony megbízhatósággal úgy értékeli, hogy az Interlock ransomware valószínűleg egy új, diverzifikált csoport, amely a Rhysida ransomware üzemeltetőiből vagy fejlesztőiből alakult ki.
