インターロック ランサムウェアの検出：新しいランサムウェア変種を用いた高プロファイル攻撃と二重恐喝攻撃

攻撃者が新しいInterlock ランサムウェア を最近観察された米国とヨーロッパの複数の業種の組織に対する大規模な攻撃や二重脅迫攻撃で使用している。防御者は、InterlockランサムウェアがRhysidaランサムウェアに関連する新しく多様化したグループのものである可能性があると低い確信度で仮定している。 Rhysidaランサムウェア の関連団体か開発者であるとし、比較可能なTTPと暗号化バイナリに基づいている。

Interlockランサムウェアの検出

ランサムウェア攻撃は依然として増加しており、 2022年から2023年にかけてほぼ倍増し、新しいランサムウェア運営者が出現する中、その傾向は続いている。新しいInterlockランサムウェアのバリアントが登場し、ヘルスケアや政府を含む世界中の組織を対象に幅広い業種にわたって攻撃を展開しているため、サイバー防御者は新たなランサムウェアの脅威に対抗する革新的な戦略を模索する必要がある。

共同サイバー防御のためのSOC Primeプラットフォームは、 MITRE ATT&CK®に準拠した関連検出アルゴリズムを備え、カスタマイズされた CTI 関連メタデータで充実しており、30以上のSIEM、EDR、データレイクプラットフォームと互換性がある。「 検出を探索 」ボタンをクリックして、Interlockランサムウェア検出用の専用Sigmaルールにアクセス。

検出を探索

新興のランサムウェア攻撃に対抗するプロアクティブなサイバー防御を強化するため、さらなる検出を得るには、 次のリンクをクリックしてください。

Interlockランサムウェア攻撃解析

Interlockと命名された新興ランサムウェアのバリアントが2024年9月にサイバー脅威の場に初登場しました。それを背後で運営するランサムウェア運営者は、米国のヘルスケア、技術、公共部門、ヨーロッパの製造業を含む多様なビジネス分野のグローバルな組織に対して高プロファイルで二重脅迫の攻撃を開始しています。特に、Interlockランサムウェアの管理者はデータ漏洩サイト「Worldwide Secrets Blog」を運営しており、被害者の漏洩データを公表し、被害者サポートチャットを提供し、メールアドレス「interlock@2mail[.]co」を掲載しています。Interlockは、匿名化ネットワークを通じてスケジュールされたタスクでC2接続を確立し、その秘匿性と複雑さを強化しています。攻撃者は、組織のインフラにおける未修正の脆弱性を悪用すると主張し、財政的利益と不十分なサイバーセキュリティに対する組織の責任追及という二重の動機を挙げています。

According to the Cisco Talosの調査 によると、Interlockランサムウェア攻撃において、攻撃者は初回侵害からランサムウェア暗号化バイナリの展開と実行まで約17日間、侵害された環境に留まりました。特に、InterlockランサムウェアにはWindows Portable Executable (EXE)とLinux実行可能ファイル (ELF)の両方のバージョンが存在し、攻撃者はWindowsとLinuxの両方を実行するマシンを狙っていることを示唆しています。

感染チェーンは、偽のGoogle Chromeアップデーターの実行ファイルを通じてターゲットシステムへの攻撃者アクセスを得ることから始まります。被害者は正規のニュースサイトからダウンロードするように誘導され、クリックすると、偽のアップデーターが第二の武器化された正規販売業者のURLから侵害されたデバイスにダウンロードされます。

攻撃者は、偽のブラウザアップデーターに偽装されたRAT、PowerShellスクリプト、Golangベースの認証情報窃取プログラム、およびキーロガーを含む複数のコンポーネントを配信チェーンで活用した後にInterlockランサムウェアを展開します。彼らは主に被害者のネットワーク内での側方移動にRDPを使用し、AnyDeskやPuTTYのようなツールも使用します。さらに、Azure Storage ExplorerとAZCopyを使用して、攻撃者が管理するAzureストレージブロブにデータを外部送信します。

ハッカーは合法ファイルに擬装してInterlockランサムウェアの暗号化プログラムを展開します。実行されると、対象ファイルは「.Interlock」拡張子で暗号化され、各影響を受けたフォルダに身代金メモが配置されます。身代金メモは、ファイル復旧の試みやシステムの再起動をまずく警告し、96時間以内に対応しなければデータを漏洩しメディアに通知するとの脅威を提示し、財政的および評判的損害を懸けられています。

特に、Talosの研究者は、Interlockランサムウェアが対抗グループであるRhysidaのオペレーターから新たに出現したグループであると低い確信度で評価しています。攻撃者のTTPとランサムウェアの振る舞いに類似点があることに基づいています。さらに、研究者はハードコーディングされたWindowsバリアントの除外リストに特にInterlockとRhysidaのバイナリ間でコードの重複が観察されています。

二重脅迫Interlockランサムウェア攻撃の脅威が高まる中、組織はデータ漏洩を防ぐためのサイバー防御を強化しようと努めています。SOC Primeの AI対応検出エンジニアリング、自動化脅威ハンティング、高度な脅威検出のための 完全な製品スイートが、ランサムウェア攻撃やどんな複雑な新しいサイバー脅威のリスクを最小限に抑える将来志向のソリューションとして役立ちます。