인터락 랜섬웨어 탐지: 새로운 랜섬웨어 변종을 사용하는 고위험 및 이중 갈취 공격
목차:
공격자들은 새로운 인터록 랜섬웨어 를 최근에 관찰된 큰 사냥 및 이중 협박 공격에서 미국과 유럽의 다양한 산업 부문에 속한 조직들을 대상으로 사용하고 있습니다. 방어자들은 인터록 랜섬웨어가 Rhysida 랜섬웨어 관련자나 개발자들과 연결되어 있을 가능성을 낮은 확률로 추정하고 있으며, 유사한 TTP 및 암호화 바이너리 기반으로 이를 추론하고 있습니다.
인터록 랜섬웨어 감지
랜섬웨어 공격은 계속해서 증가하고 있으며, 2022년에서 2023년 사이에 거의 두 배로 증가하였습니다. 새로운 랜섬웨어 운영자가 등장하면서 이 추세는 계속되고 있습니다. 새로운 인터록 랜섬웨어 변종의 부상으로 인해 전 세계 조직들이 다양한 산업 부문, 특히 의료 및 정부를 포함한 분야에서 공격받고 있어 사이버 방어자들은 새로운 랜섬웨어 위협에 대응하기 위한 혁신적인 전략을 찾아야 합니다.
SOC 프라임 플랫폼은 해당 탐지 알고리즘을 제공하여 보안 팀들에게 MITRE ATT&CK®과 일치하는 알고리즘을 제공합니다. 이는 맞춤형 메타데이터로 강화되고, 30개 이상의 SIEM, EDR, 데이터 레이크 플랫폼과 호환됩니다. CTI 자세히 보기 버튼을 클릭하여 인터록 랜섬웨어 탐지를 위한 전용 시그마 규칙으로 이동하십시오. button to get to the dedicated Sigma rules for Interlock ransomware detection.
버튼을 클릭하여 인터록 랜섬웨어 탐지를 위한 전용 시그마 규칙으로 이동하십시오.
신흥 랜섬웨어 공격에 대한 선제적 사이버 방어를 위해 더 많은 탐지를 얻으려면 다음 링크를 클릭하십시오.
인터록 랜섬웨어 공격 분석
새롭게 등장한 랜섬웨어 변종인 인터록이 2024년 9월 처음으로 사이버 위협 환경에 등장했습니다. 이 랜섬웨어의 운영자들은 전 세계 조직들에 대해 의료, 기술, 공공 부문 등 다양한 사업 분야에서 큰 규모의 이중 협박 공격을 실행하고 있으며, 미국에서는 제조업도 공격 대상이 되고 있습니다. 특히, 인터록 랜섬웨어 유지보수자들은 ‘Worldwide Secrets Blog’라는 데이터 유출 사이트를 운영하여 피해자의 유출된 데이터를 게시하고, 피해자 지원 채팅을 제공하며 이메일 “interlock@2mail[.]co”를 목록에 올리고 있습니다. 인터록은 익명화된 네트워크를 통해 일정 작업을 통한 C2 연결을 설정하여 은밀성과 복잡성을 높입니다. 공격자들은 조직 인프라의 패치되지 않은 취약점을 악용한다고 주장하며, 재정적 이득을 추구하고 부실한 사이버 보안을 가진 회사를 책임지겠다는 이중 동기를 가지고 있습니다.
– Cisco Talos의 조사에 따르면 인터록 랜섬웨어 공격 동안 공격자들은 초기 침해부터 랜섬웨어 암호화 바이너리의 배포 및 실행까지 약 17일 동안 손상된 환경에 머물렀습니다. 특히, 인터록 랜섬웨어는 Windows 실행 파일(EXE)과 Linux 실행 파일(ELF) 두 가지 버전이 있어, 공격자가 Windows와 Linux 모두를 실행하는 기기를 대상으로 하고 있음을 시사합니다.
감염 사슬은 피해자가 신뢰할 수 있는 뉴스 사이트에서 다운로드하도록 유도된 가짜 구글 크롬 업데이트 파일을 통해 표적 시스템에 접근함으로써 시작됩니다. 클릭할 경우, 가짜 업데이트 파일은 합법적인 소매업체에 속한 두 번째 무기화된 URL에서 손상된 장치에 다운로드됩니다.
공격자들은 전달 체인에서 여러 구성 요소를 활용하여, 가짜 브라우저 업데이트 프로그램으로 위장된 RAT, PowerShell 스크립트, Golang 기반의 자격 증명 도용기, 키로거를 배포하기 전에 인터록 랜섬웨어를 설치합니다. 그들은 주로 RDP를 사용하여 피해자 네트워크 내에서 측면 이동을 하고, AnyDesk와 PuTTY 같은 도구를 사용합니다. 또한, Azure Storage Explorer와 AZCopy를 사용하여 공격자 제어 Azure 스토리지 블롭으로 데이터를 외부로 유출합니다.
해커들은 인터록 랜섬웨어 암호화기를 합법적인 파일인 척 하여 배포합니다. 실행될 경우, 대상 파일들을 .Interlock 확장자로 암호화하고 각 영향을 받은 폴더에 랜섬 노트를 배치합니다. 랜섬 노트는 파일 복구 시도나 시스템 재부팅을 경고하며, 데이터 유출 및 언론 통보, 재정적 및 명예 손상의 위험을 초래할 수 있는 96시간 내 대응 요구를 강조합니다.
특히, Talos 연구원들은 저확률로 인터록 랜섬웨어가 Rhysida 운영에서 기인한 새로운 그룹이라고 평가하고 있으며, 이는 공격자의 TTP 및 랜섬웨어 행동에서의 유사성에 기반하고 있습니다. 또한, 연구원들은 Windows 버전의 하드코딩된 제외 리스트에서 인터록과 Rhysida의 바이너리 간의 코드 중복을 관찰하였습니다.
이중 협박된 인터록 랜섬웨어 공격의 증가하는 위협과 함께, 조직들은 데이터 유출 방지의 사이버 방어 능력 강화를 위해 노력하고 있습니다. SOC 프라임의 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군 은 모든 수준의 고급 사이버 위협과 랜섬웨어 공격의 위험을 최소화하기 위한 미래 지향적 솔루션으로 활동하고 있습니다.
