Détection du Ransomware Interlock : Attaques de Grande Envergure et Double Extorsion avec une Nouvelle Variante de Ransomware
Table des matières :
Les adversaires emploient le nouveau rançongiciel Interlock rançongiciel dans des attaques récemment observées de chasse au gros gibier et de double extorsion contre des organisations américaines et européennes dans plusieurs secteurs industriels. Les défenseurs supposent avec une faible confiance que le rançongiciel Interlock pourrait être un groupe récemment diversifié lié aux affiliés ou développeurs de Rhysida ransomware , sur la base de TTP comparables et de binaires d’encryptage.
Détecter le ransomware Interlock
Les attaques de rançongiciels continuent d’augmenter, presque doublant de 2022 à 2023, et la tendance persiste alors que de nouveaux opérateurs de rançongiciels émergent. L’apparition de la nouvelle variante du rançongiciel Interlock, ciblant les organisations à l’échelle mondiale dans un éventail de secteurs industriels, y compris la santé et le gouvernement, pousse les cyberdéfenseurs à trouver des stratégies innovantes pour combattre les menaces de rançongiciels émergentes.
La plateforme SOC Prime pour la défense collective contre les cyberattaques dote les équipes de sécurité d’algorithmes de détection pertinents alignés avec MITRE ATT&CK®, enrichis avec des métadonnées sur mesure CTI et pertinentes, et compatibles avec plus de 30 plateformes SIEM, EDR, et Data Lake. Cliquez sur le bouton Explorer les Détections pour accéder aux règles Sigma dédiées à la détection du rançongiciel Interlock.
bouton Explorer les Détections
Pour obtenir plus de détections pour une cyberdéfense proactive contre les attaques de rançongiciels émergentes, cliquez sur le lien suivant.
Analyse de l’Attaque du Rançongiciel Interlock
Une variante de rançongiciel émergente surnommée Interlock est apparue pour la première fois dans le domaine des menaces cyber en septembre 2024. Les opérateurs de rançongiciels derrière celui-ci ont lancé des attaques de haut niveau et de double extorsion contre des organisations mondiales dans divers secteurs d’affaires, y compris la santé, la technologie et le secteur public aux États-Unis, ainsi que la fabrication en Europe. Notamment, les mainteneurs du rançongiciel Interlock exploitent un site de fuite de données, « Worldwide Secrets Blog, » où ils publient les données divulguées des victimes, offrent un chat de support aux victimes, et listent l’email “interlock@2mail[.]co”. Interlock établit une connexion C2 via une tâche planifiée sur un réseau anonymisé, renforçant sa discrétion et sa complexité. Les adversaires prétendent exploiter des vulnérabilités non corrigées dans l’infrastructure des organisations, en citant une double motivation de gain financier et de tenir les entreprises responsables de la cybersécurité inadéquate.
Selon l’ enquête de Cisco Talos sur les attaques du rançongiciel Interlock, les adversaires sont restés dans l’environnement compromis pendant environ 17 jours, de la brèche initiale au déploiement et à l’exécution du binaire d’encryptage du rançongiciel. Notamment, le rançongiciel Interlock a à la fois des versions Windows Portable Executable (EXE) et Linux executable (ELF), suggérant que l’attaquant cible des machines exécutant à la fois Windows et Linux.
La chaîne d’infection commence avec l’accès de l’adversaire au système ciblé à travers un exécutable faux de mise à jour de Google Chrome, dans lequel la victime est incitée à télécharger depuis un site d’actualités légitime compromis. Lorsqu’il est cliqué, le faux mise à jour est téléchargé sur l’appareil compromis depuis une deuxième URL armée appartenant à un détaillant légitime.
Les adversaires exploitent plusieurs composants dans la chaîne de livraison, y compris un RAT déguisé en faux mise à jour de navigateur, des scripts PowerShell, un voleur d’identifiants basé sur Golang, et un enregistreur de frappe avant de déployer le rançongiciel Interlock. Ils utilisent principalement RDP pour le mouvement latéral au sein du réseau de la victime, avec des outils comme AnyDesk et PuTTY. De plus, ils appliquent Azure Storage Explorer et AZCopy pour exfiltrer des données vers une blob de stockage Azure contrôlée par les attaquants.
Les hackers déploient l’encryptor de rançongiciel Interlock, le déguisant en fichier légitime. Lorsqu’il est exécuté, il chiffre les fichiers ciblés avec l’extension “.Interlock” et place une note de rançon dans chaque dossier affecté. La note de rançon met en garde contre les tentatives de récupération de fichiers ou le redémarrage des systèmes, exigeant une réponse dans les 96 heures sous la menace de divulguer les données et d’alerter les médias, risquant des dommages financiers et de réputation.
Notamment, les chercheurs de Talos évaluent avec une faible confiance que le rançongiciel Interlock est un nouveau groupe émergeant des opérateurs de Rhysida, sur la base des similitudes dans les TTP et les comportements des rançongiciels des adversaires. De plus, les chercheurs ont observé des chevauchements de code entre les binaires d’Interlock et de Rhysida, en particulier dans les listes d’exclusion codées en dur pour les variantes Windows.
Avec la menace croissante d’attaques de rançongiciels à double extorsion d’Interlock, les organisations s’efforcent d’élever leurs défenses cybernétiques pour prévenir les violations de données. La suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces sert de solution pérenne pour minimiser les risques d’attaques de rançongiciels et de menaces cyber émergentes de toute sophistication.
