Rilevamento del Ransomware Interlock: Attacchi ad Alto Profilo e Doppia Estorsione Utilizzando una Nuova Variante di Ransomware
Indice:
Gli avversari impiegano il nuovo Interlock ransomware in attacchi di big-game hunting e doppia estorsione recentemente osservati contro organizzazioni statunitensi ed europee in diversi settori industriali. I difensori assumono con bassa fiducia che il ransomware Interlock possa essere un nuovo gruppo diversificato collegato agli affiliati o sviluppatori di Rhysida ransomware, basandosi su TTP e binari dell’encryptor comparabili.
Rilevare il Ransomware Interlock
Gli attacchi ransomware continuano ad aumentare, quasi raddoppiando dal 2022 al 2023, e la tendenza persiste mentre emergono nuovi operatori di ransomware. L’ascesa della nuova variante di ransomware Interlock, che prende di mira organizzazioni a livello globale in una serie di settori industriali, inclusi sanità e governo, spinge i difensori cyber a trovare strategie innovative per combattere le minacce emergenti del ransomware.
La Piattaforma SOC Prime per la difesa cyber collettiva equipaggia i team di sicurezza con algoritmi di rilevamento rilevanti allineati con MITRE ATT&CK®, arricchiti con CTI metadati pertinenti e personalizzati, e compatibili con oltre 30 piattaforme SIEM, EDR e Data Lake. Clicca il pulsante Esplora Rilevamenti per accedere alle regole Sigma dedicate al rilevamento del ransomware Interlock.
Per ottenere più rilevamenti per una difesa cyber proattiva contro attacchi ransomware emergenti, clicca sul seguente link.
Analisi dell’Attacco Ransomware Interlock
Una variante emergente di ransomware denominata Interlock è apparsa per la prima volta nell’area delle minacce informatiche a settembre 2024. Gli operatori di ransomware dietro di esso hanno lanciato attacchi di alto profilo e doppia estorsione contro organizzazioni globali in diversi settori aziendali, inclusi sanità, tecnologia e settore pubblico negli Stati Uniti, nonché manifatturiero in Europa. Notavelmente, i manutentori del ransomware Interlock operano un sito di fuga di dati, “Worldwide Secrets Blog,” dove pubblicano i dati trapelati delle vittime, offrono una chat di supporto per le vittime e elencano l’email “interlock@2mail[.]co”. Interlock stabilisce una connessione C2 attraverso un’attività pianificata su una rete anonima, migliorando la sua furtività e complessità. Gli avversari affermano di sfruttare vulnerabilità non patchate nell’infrastruttura delle organizzazioni, citando una doppia motivazione di guadagno finanziario e per responsabilizzare le aziende per la loro inadeguatezza nella sicurezza informatica.
Secondo l ‘indagine di Cisco Talos sugli attacchi ransomware Interlock, gli avversari sono rimasti nell’ambiente compromesso per circa 17 giorni, dal primo breach al dispiegamento e all’esecuzione del binario encryptor ransomware. Notablement, il ransomware Interlock ha versioni sia Windows Portable Executable (EXE) che eseguibili Linux (ELF), suggerendo che l’attaccante stia prendendo di mira macchine che eseguono sia Windows che Linux.
La catena d’infezione inizia con l’acquisizione da parte dell’avversario dell’accesso al sistema bersaglio tramite un falso file eseguibile di aggiornamento di Google Chrome, che la vittima è indotta a scaricare da un sito di notizie legittimo compromesso. Quando cliccato, il falso aggiornamento viene scaricato sul dispositivo compromesso da un secondo URL armato appartenente a un rivenditore legittimo.
Gli avversari sfruttano diversi componenti nella catena di distribuzione, tra cui un RAT travestito da falso aggiornamento del browser, script PowerShell, un ladro di credenziali basato su Golang e un keylogger prima di distribuire il ransomware Interlock. Utilizzano principalmente RDP per spostamenti laterali all’interno della rete della vittima, insieme a strumenti come AnyDesk e PuTTY. Inoltre, applicano Azure Storage Explorer e AZCopy per esfiltrare i dati verso un blob di archiviazione Azure controllato dall’attaccante.
Gli hacker distribuiscono l’encryptor ransomware Interlock mascherandolo come un file legittimo. Quando eseguito, cripta i file presi di mira con l’estensione “.Interlock” e posiziona una nota di riscatto in ogni cartella colpita. La nota di riscatto avverte di non tentare il recupero dei file o il riavvio dei sistemi, richiedendo una risposta entro 96 ore sotto la minaccia di far trapelare i dati e avvisare i media, rischiando danni finanziari e reputazionali.
Notablemente, i ricercatori di Talos valutano con bassa fiducia che il ransomware Interlock è un nuovo gruppo emergente dagli operatori Rhysida, basandosi su somiglianze nelle TTP avversarie e nei comportamenti ransomware. Inoltre, i ricercatori hanno osservato sovrapposizioni di codice tra i binari di Interlock e Rhysida, in particolare nelle liste di esclusione hardcodate per le varianti di Windows.
Con la crescente minaccia di attacchi ransomware Interlock a doppia estorsione, le organizzazioni si stanno impegnando a rafforzare le loro difese cyber per prevenire le violazioni dei dati. La suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento basata su AI, la ricerca automatizzata delle minacce, e il rilevamento avanzato delle minacce serve come una soluzione futuristica per minimizzare i rischi di attacchi ransomware e minacce informatiche emergenti di qualsiasi sofisticazione.
