Interlock ransomware
A CISA, az FBI, a HHS és az MS-ISAC közös figyelmeztetése szerint az Interlock zsarolóvírus egyre aktívabb és kifinomultabb módszerekkel célozza meg az üzleti és kritikus infrastruktúra-szektorokat Észak-Amerikában és Európában, különös tekintettel az egészségügyi ágazatra. Az Interlock 2024 szeptemberében jelent meg, és hamar híre ment különleges kettős zsaroló taktikájáról, az adatok kinyerése után azok titkosításával és nyilvánosságra ígéretével próbálják rákényszeríteni az áldozatokat a váltságdíj kifizetésére.
A támadók kezdeti hozzáférést drive-by letöltésekkel, fertőzött weboldalakon keresztül kifejezetten Ruby például hamis böngészőfrissítés képében terjesztik a rosszindulatú kódot. Újdonságként a FileFix technika is megjelent, a felhasználót arra utasítják, hogy illesszen be egy címnek látszó parancsot a Windows Intéző címsorába, amely valójában egy PowerShell-alapú RAT letöltését és futtatását eredményezi.
A támadások során gyakran alkalmaznak Cobalt Strike-t, SystemBC-t, akár NodeSnake RAT-ot is a parancsvezérlésre és a feltérképezés megkönnyítésére. A privilégiumok megszerzését jelszótolással (Mimikatz-stílusú eszközökkel), PowerShell-es skriptekkel, RDP-vel, AnyDesk és PuTTY használatával végzik. Az adatok kiszivárogtatására Azure Storage Explorer és WinSCP szolgál, majd az eszközök titkosítása alábbi módszerekkel történik Windows, Linux és FreeBSD rendszereken egyaránt.
Az Interlock külön agresszív az egészségügyi szervezetek ellen: többek közt a DaVita és Kettering Health rendszereit is érintették, összesen legalább 14 ismert támadással, amelyek közül az esetek harmada egészségügyi intézményekhez köthető.
A szakhatóságok több védelmi ajánlást fogalmaztak meg, fontossá vált az DNS-szűrés, a webalkalmazás-tűzfalak (WAF) alkalmazása, valamint a végpontvédelmi rendszerek és szegmentált hálózati architektúra kialakítása. Adminisztratív oldalról lényeg a többlépcsős hitelesítés kiterjesztése, rendszeres patch-elés, felhasználói oktatás a social engineering technikák felismerésére, valamint a katasztrófa utáni helyreállítási protokollok kidolgozása. joint advisory részletes IOC-listát is mellékel a hálózati és fájlindikátorok felismeréséhez.
