Detecção de Ransomware Interlock: Ataques de Alto Perfil e Dupla Extorsão Usando uma Nova Variante de Ransomware
Índice:
Adversários empregam o novo Interlock ransomware em ataques de caça ao grande jogo e extorsão dupla recentemente observados contra organizações dos EUA e Europa em múltiplos setores da indústria. Defensores assumem com baixa confiança que o ransomware Interlock pode ser um grupo recém-diversificado ligado aos afiliados ou desenvolvedores do ransomware Rhysida, com base em TTPs comparáveis e binários de encriptadores.
Detectar Ransomware Interlock
Os ataques de ransomware continuam a aumentar, quase dobrando de 2022 para 2023, e a tendência persiste à medida que novos operadores de ransomware emergem. O surgimento da nova variante de ransomware Interlock, que mira organizações globalmente em diversos setores industriais, incluindo saúde e governo, instiga os defensores cibernéticos a encontrar estratégias inovadoras para combater ameaças emergentes de ransomware.
A Plataforma SOC Prime para defesa cibernética coletiva equipa as equipes de segurança com algoritmos de detecção relevantes alinhados com MITRE ATT&CK®, enriquecidos com metadados personalizados CTI e relevantes, e compatíveis com mais de 30 plataformas de SIEM, EDR e Data Lake. Clique no botão Explore Detections para acessar as regras Sigma dedicadas à detecção do ransomware Interlock.
Para obter mais detecções para defesa cibernética proativa contra ataques emergentes de ransomware, clique no link a seguir.
Análise do Ataque de Ransomware Interlock
Uma variante emergente de ransomware apelidada de Interlock surgiu na arena de ameaças cibernéticas em setembro de 2024. Os operadores de ransomware por trás dela têm lançado ataques de alto perfil e extorsão dupla contra organizações globais em diversos segmentos de negócios, incluindo saúde, tecnologia e o setor público nos EUA, bem como manufatura na Europa. Notavelmente, os mantenedores do ransomware Interlock operam um site de vazamento de dados, “Worldwide Secrets Blog”, onde publicam dados vazados das vítimas, oferecem chat de suporte às vítimas e listam o e-mail “interlock@2mail[.]co”. O Interlock estabelece uma conexão C2 através de uma tarefa agendada sobre uma rede anonimizadora, aumentando seu sigilo e complexidade. Adversários afirmam explorar vulnerabilidades não corrigidas na infraestrutura das organizações, citando uma dupla motivação de ganho financeiro e responsabilizar as empresas pela inadequada cibersegurança.
De acordo com a investigação Cisco Talos sobre os ataques de ransomware Interlock, os adversários permaneceram no ambiente comprometido por cerca de 17 dias, desde a violação inicial até a implantação e execução do binário do encriptador de ransomware. Notavelmente, o ransomware Interlock possui versões Windows Portable Executable (EXE) e executável Linux (ELF), sugerindo que o atacante está mirando máquinas que executam tanto Windows quanto Linux.
A cadeia de infecção começa com o acesso adversário ao sistema alvo através de um executável falso de atualizador do Google Chrome, que a vítima é levada a baixar de um site de notícias legítimo comprometido. Quando clicado, o falso atualizador é baixado para o dispositivo comprometido a partir de um segundo URL armado pertencente a um varejista legítimo.
Os adversários aproveitam vários componentes na cadeia de entrega, incluindo um RAT disfarçado como um atualizador de navegador falso, scripts PowerShell, um ladrão de credenciais baseado em Golang, e um keylogger antes de implantar o ransomware Interlock. Eles usam principalmente RDP para movimentação lateral dentro da rede da vítima, juntamente com ferramentas como AnyDesk e PuTTY. Além disso, eles aplicam Azure Storage Explorer e AZCopy para exfiltrar dados para um blob de armazenamento Azure controlado pelo atacante.
Os hackers implantam o encriptador de ransomware Interlock mascarando-o como um arquivo legítimo. Quando executado, ele encriptou arquivos-alvo com a extensão “.Interlock” e colocou uma nota de resgate em cada pasta afetada. A nota de resgate avisa contra tentativas de recuperação de arquivos ou reinicialização dos sistemas, exigindo uma resposta em até 96 horas sob a ameaça de vazar os dados e notificar a mídia, arriscando danos financeiros e reputacionais.
Notavelmente, pesquisadores da Talos avaliam com baixa confiança que o ransomware Interlock é um novo grupo emergindo dos operadores Rhysida, com base em semelhanças nos TTPs dos adversários e comportamentos de ransomware. Além disso, os pesquisadores observaram sobreposições de código entre os binários do Interlock e do Rhysida, particularmente nas listas de exclusão codificadas para variantes do Windows.
Com a crescente ameaça de ataques de ransomware Interlock de extorsão dupla, as organizações estão se esforçando para elevar suas defesas cibernéticas para evitar violações de dados. O conjunto completo de produtos da SOC Prime para engenharia de detecção baseada em IA, caça automatizada de ameaças e detecção avançada de ameaças serve como uma solução preparada para o futuro para minimizar os riscos de ataques de ransomware e ameaças cibernéticas emergentes de qualquer sofisticação.
