Erkennung von Interlock-Ransomware: Hochkarätige und Doppel-Erpressungsangriffe mit einer neuen Ransomware-Variante
Inhaltsverzeichnis:
Gegner setzen neue Interlock Ransomware bei kürzlich beobachteten Großwildjagden und Doppel-Erpressungsangriffen gegen Organisationen in den USA und Europa in mehreren Branchen ein. Verteidiger vermuten mit geringer Zuversicht, dass die Interlock-Ransomware eine neu diversifizierte Gruppe sein könnte, die mit der Rhysida-Ransomware verbunden ist, basierend auf vergleichbaren TTPs und Verschlüsselungs-Binaries.
Interlock-Ransomware erkennen
Ransomware-Angriffe nehmen weiterhin zu, nahezu verdoppelt von 2022 bis 2023,und der Trend hält an, da neue Ransomware-Betreiber auftauchen. Der Aufstieg der neuen Interlock-Ransomware-Variante, die weltweit Organisationen in einer Vielzahl von Branchen, einschließlich Gesundheitswesen und Regierung, ins Visier nimmt, ermutigt Cyber-Verteidiger dazu, innovative Strategien zu entwickeln, um aufkommende Ransomware-Bedrohungen zu bekämpfen.
SOC Prime Platform für kollektive Cyber-Verteidigung stattet Sicherheitsteams mit relevanten Erkennungsalgorithmen gemäß MITRE ATT&CK®aus, angereichert mit maßgeschneiderter CTI und relevanter Metadaten, und ist kompatibel mit über 30 SIEM-, EDR- und Data-Lake-Plattformen. Klicken Sie auf den Erkennungen erkunden Button, um zu den speziellen Sigma-Regeln zur Erkennung der Interlock-Ransomware zu gelangen.
Um mehr Erkennungen für proaktive Cyber-Verteidigung gegen aufkommende Ransomware-Angriffe zu erhalten, klicken Sie auf den folgenden Link.
Analyse des Interlock-Ransomware-Angriffs
Eine aufkommende Ransomware-Variante namens Interlock erschien erstmals im September 2024 in der Cyber-Bedrohungslandschaft. Die dahinterstehenden Ransomware-Betreiber haben hochkarätige und Doppel-Erpressungsangriffe gegen globale Organisationen in verschiedenen Geschäftsbereichen durchgeführt, darunter Gesundheitswesen, Technologie und den öffentlichen Sektor in den USA sowie Fertigung in Europa. Bemerkenswerterweise betreiben die Verantwortlichen der Interlock-Ransomware eine Datenleck-Seite, „Worldwide Secrets Blog“, auf der sie die geleakten Daten der Opfer veröffentlichen, ein Opfer-Support-Chat anbieten und die E-Mail „interlock@2mail[.]co“ auflisten. Interlock stellt durch eine geplante Aufgabe über ein anonymisiertes Netzwerk eine C2-Verbindung her, was seine Tarnung und Komplexität erhöht. Gegner behaupten, ungepatchte Schwachstellen in der Infrastruktur von Organisationen auszunutzen, mit dem doppelten Ziel des finanziellen Gewinns und der Verantwortung von Unternehmen für unzureichende Cybersicherheit.
Laut der Untersuchung von Cisco Talos in die Interlock-Ransomware-Angriffe blieben die Gegner etwa 17 Tage lang in der kompromittierten Umgebung, von der ersten Verletzung bis zur Bereitstellung und Ausführung der Ransomware-Verschlüsselungs-Binary. Bemerkenswerterweise verfügt die Interlock-Ransomware sowohl über Windows Portable Executable (EXE)- als auch Linux-Ausführungsdateien (ELF), was darauf hindeutet, dass der Angreifer Maschinen sowohl mit Windows als auch mit Linux ins Visier nimmt.
Die Infektionskette beginnt damit, dass der Gegner Zugriff auf das Zielsystem erhält, indem er ein gefälschtes Google Chrome-Update herunterlädt, zu dem das Opfer von einer kompromittierten legitimen Nachrichten-Website verleitet wird. Beim Klicken wird das gefälschte Update von einer zweiten waffenfähigen URL, die zu einem legitimen Einzelhändler gehört, auf das kompromittierte Gerät heruntergeladen.
Gegner nutzen mehrere Komponenten in der Lieferkette, einschließlich eines Remote-Access-Trojaner (RAT), der sich als gefälschtes Browser-Update tarnt, PowerShell-Skripten, einem Golang-basierten Anmeldeinformationen-Dieb und einem Keylogger, bevor die Interlock-Ransomware bereitgestellt wird. Sie nutzen hauptsächlich RDP für die seitliche Bewegung innerhalb des Netzwerks des Opfers, zusätzlich zu Tools wie AnyDesk und PuTTY. Darüber hinaus verwenden sie Azure Storage Explorer und AZCopy, um Daten in einen von Angreifern kontrollierten Azure-Speicher-BLOB zu exfiltrieren.
Hacker setzen den Interlock-Ransomware-Verschlüsseler ein und tarnen ihn als legitime Datei. Bei der Ausführung verschlüsselte er gezielte Dateien mit der Erweiterung „.Interlock“ und platzierte eine Lösegeldforderung in jedem betroffenen Ordner. Die Lösegeldforderung warnt vor Datei-Wiederherstellungsversuchen oder Neustarts der Systeme und fordert eine Antwort innerhalb von 96 Stunden, da sonst die Daten geleakt und die Medien informiert werden, mit der Gefahr finanzieller und reputationsschädigender Schäden.
Bemerkenswerterweise bewerten Talos-Forscher mit geringer Zuversicht, dass die Interlock-Ransomware eine neue Gruppe darstellt, die aus Rhysida-Operatoren hervorgegangen ist, basierend auf Ähnlichkeiten in Gegner-TTPs und Ransomware-Verhaltensweisen. Außerdem beobachteten Forscher Code-Überlappungen zwischen den Binaries von Interlock und Rhysida, insbesondere in den fest codierten Ausschlusslisten für Windows-Varianten.
Mit der zunehmenden Bedrohung durch Doppel-Erpressung-Interlock-Ransomware-Angriffe streben Organisationen danach, ihre Cyberabwehr zu stärken, um Datenverletzungen zu verhindern. Die komplette Produktsuite von SOC Prime für KI-gesteuertes Erkennungs-Engineering, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung dient als zukunftssichere Lösung, um die Risiken von Ransomware-Angriffen und aufkommenden Cyber-Bedrohungen jeglicher Komplexität zu minimieren.
