![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科CISA 警告:Interlock 勒索软件变种肆虐欧美,攻击手段升级](https://www.anquan114.com/wp-content/uploads/2024/04/20240415161703301-image.png)
美国网络安全和基础设施安全局(CISA)周二警告北美和欧洲的企业,需加强系统防护以应对一种新的Interlock勒索软件变种。
该双重勒索组织于2024年秋季首次出现在勒索软件领域,已知针对各种关键基础设施组织和行业,包括医疗保健、教育、技术、政府和制造业。
“这些行为者本质上是机会主义且受经济利益驱动,采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。
“Interlock勒索软件是一个鲜明的例子,展示了当今勒索软件组织变得多么危险和不可预测,”Swimlane的首席安全自动化架构师Nick Tausek表示。
“尽管他们直到2024年底才被发现,但该组织一直非常活跃,并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。
今年5月,Interlock成为头条新闻,原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责,该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。
JavaScript转向PHP
FBI表示,已观察到Interlock通过入侵合法网站进行路过式下载(drive-by download)来获得对其受害者的初始访问权限,将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新,这对勒索软件行为者而言是一种非典型方法。
该组织还以使用“ClickFix社会工程技术”而闻名,例如,通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马(RAT)。
“验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容,然后执行恶意Base64编码的PowerShell进程。”公告称。
该警告发布不到一周前,The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。
这种新变种转而使用PHP,似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。
Interlock Kongtube FileFix 恶意软件活动
链接的JavaScript首先提示用户点击验证码以“验证您是人类”,然后是“验证步骤”,要求打开运行命令并粘贴剪贴板内容。粘贴后,它会执行一个PowerShell脚本,最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。
Tausek解释说,Interlock的独特之处在于其战术多样性。
“该组织曾使用ClickFix攻击冒充IT工具渗透网络,部署远程访问木马(RAT)来传播恶意软件,并且最近采用了双重勒索策略以最大化对受害者的压力。”
安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处,表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。
World Secrets Blog
已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心(C2),然后通常会下载PowerShell来安装某种信息窃取程序(如LumanStealer)以及键盘记录器二进制文件,以“窃取凭据进行横向移动和权限提升”。
Interlock会部署针对Windows和Linux操作系统的勒索软件加密器,同时也常用AnyDesk进行远程文件传输。
在加密受害者的文件(使用.interlock或.1nt3rlock文件扩展名)后,该团伙会发送一张便条,指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。
“您的网络已被入侵,我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道,威胁称除非支付未公开的赎金,否则将公布其声称从Kettering网络中窃取的1TB数据。
Broadcom在2024年10月对该勒索软件团伙的分析报告中指出,其“警告受害者不要修改文件、使用恢复软件或重启系统,因为这些行为可能导致不可逆转的损害。”Broadcom还表示,Interlock受害者通常只有96小时进行谈判。
根据Cybernews的Ransomlooker工具,自今年1月以来,该组织已声称至少攻击了35名勒索软件受害者,其中约一半的攻击发生在过去六周内。
“这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量,通常是同时进行,组织必须做好准备,”Tausek告诉Cybernews。
CISA建议组织通过实施强大的端点检测和响应(EDR)工具及能力来加固系统,包括修补暴露的系统、采用多因素认证和进行网络分段。
Tuasek表示,除了定期修补、网络分段和其他主动防御措施外,“同样关键的是让员工具备识别社会工程尝试的意识,以免导致系统被入侵。”
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容