Detección de Ransomware Interlock: Ataques de Alto Perfil y Doble Extorsión Usando una Nueva Variante de Ransomware
Tabla de contenidos:
Los adversarios emplean el nuevo Interlock ransomware en ataques de caza mayor y doble extorsión recientemente observados contra organizaciones de EE. UU. y Europa en múltiples sectores industriales. Los defensores suponen con baja confianza que el ransomware Interlock podría ser un grupo recientemente diversificado vinculado a los afiliados o desarrolladores de Rhysida ransomware , basándose en TTPs comparables y binarios del encriptador.
Detectar Ransomware Interlock
Los ataques de ransomware continúan en aumento, casi duplicándose de 2022 a 2023, y la tendencia persiste a medida que surgen nuevos operadores de ransomware. El aumento de la nueva variante de ransomware Interlock, que apunta a organizaciones a nivel mundial en una variedad de sectores industriales, incluidos el de salud y gobierno, insta a los defensores cibernéticos a encontrar estrategias innovadoras para combatir las amenazas emergentes de ransomware.
La plataforma SOC Prime para la defensa cibernética colectiva equipa a los equipos de seguridad con algoritmos de detección relevantes alineados con MITRE ATT&CK®, enriquecidos con CTI metadatos relevantes y personalizados, y compatibles con más de 30 plataformas SIEM, EDR y Data Lake. Haz clic en el botón Explora Detectores para acceder a las reglas Sigma dedicadas para la detección del ransomware Interlock.
Para obtener más detecciones para una defensa cibernética proactiva contra ataques de ransomware emergentes, haz clic en el siguiente enlace.
Análisis del Ataque del Ransomware Interlock
Una variante emergente de ransomware llamada Interlock apareció por primera vez en el ámbito de amenazas cibernéticas en septiembre de 2024. Los operadores de ransomware detrás de él han estado lanzando ataques de alto perfil y doble extorsión contra organizaciones globales en diversos verticales empresariales, incluidos salud, tecnología y el sector público en EE. UU., así como manufactura en Europa. Notablemente, los mantenedores del ransomware Interlock operan un sitio de filtración de datos, «Worldwide Secrets Blog,» donde publican los datos filtrados de las víctimas, ofrecen chat de soporte a las víctimas y listan el correo electrónico “interlock@2mail[.]co”. Interlock establece una conexión C2 a través de una tarea programada sobre una red anonimada, mejorando su sigilo y complejidad. Los adversarios afirman explotar vulnerabilidades sin parchear en la infraestructura de las organizaciones, citando una motivación dual de ganancia financiera y responsabilidad de las empresas por una ciberseguridad inadecuada.
Según la investigación de Cisco Talos sobre los ataques del ransomware Interlock, los adversarios permanecieron en el entorno comprometido durante aproximadamente 17 días, desde la brecha inicial hasta el despliegue y la ejecución del binario del encriptador de ransomware. Notablemente, el ransomware Interlock posee versiones tanto de Windows Portable Executable (EXE) como de ejecutable de Linux (ELF), lo que sugiere que el atacante está apuntando a máquinas que ejecutan tanto Windows como Linux.
La cadena de infección comienza con el acceso del adversario al sistema objetivo a través de un ejecutable falso de actualizador de Google Chrome, que la víctima es atraída a descargar desde un sitio de noticias legítimo comprometido. Al hacer clic, el falso actualizador se descarga en el dispositivo comprometido desde una segunda URL armada que pertenece a un minorista legítimo.
Los adversarios aprovechan varios componentes en la cadena de entrega, incluyendo un RAT disfrazado como un actualizador falso de navegador, scripts de PowerShell, un ladrón de credenciales basado en Golang y un registrador de teclas antes de desplegar el ransomware Interlock. Principalmente utilizan RDP para el movimiento lateral dentro de la red de la víctima, junto con herramientas como AnyDesk y PuTTY. Además, aplican Azure Storage Explorer y AZCopy para exfiltrar datos a un blob de almacenamiento de Azure controlado por el atacante.
Los hackers despliegan el encriptador del ransomware Interlock disfrazándolo como un archivo legítimo. Al ejecutarse, cifraba los archivos objetivo con la extensión «.Interlock» y colocaba una nota de rescate en cada carpeta afectada. La nota de rescate advierte contra intentos de recuperación de archivos o reinicio de los sistemas, exigiendo una respuesta dentro de las 96 horas bajo la amenaza de filtrar los datos y notificar a los medios, arriesgándose a daños financieros y de reputación.
Notablemente, los investigadores de Talos evalúan con baja confianza que el ransomware Interlock es un nuevo grupo que emerge de los operadores de Rhysida, basándose en similitudes en los TTP de los adversarios y comportamientos del ransomware. Además, los investigadores observaron superposiciones de código entre los binarios de Interlock y Rhysida, particularmente en las listas de exclusión codificadas de las variantes de Windows.
Con la creciente amenaza de los ataques de ransomware de doble extorsión Interlock, las organizaciones están esforzándose por elevar sus defensas cibernéticas para prevenir brechas de datos. El conjunto completo de productos de SOC Prime para la ingeniería de detección potenciada por IA, caza de amenazas automatizada, y detección avanzada de amenazas sirve como una solución a prueba de futuro para minimizar los riesgos de ataques de ransomware y amenazas cibernéticas emergentes de cualquier sofisticación.
