Ransomware Interlock uderza w korporacje

Zdjęcie: Cyberbezpieczeństwo, ransomware

Ransomware pozostaje jednym z najpoważniejszych zagrożeń w świecie cyfrowym, nieustannie się rozwijając i adaptując do nowych zabezpieczeń. Najnowszym przykładem jest Interlock – nowy rodzaj złośliwego oprogramowania, który przyciągnął uwagę badaczy z Cisco Talos. Interlock wyróżnia się zaawansowaniem technicznym oraz unikalnymi metodami działania, które zwiększają jego skuteczność w atakach na duże organizacje.

Podwójne wymuszenie jako strategia

Interlock nie tylko szyfruje dane ofiar, ale stosuje strategię podwójnego wymuszenia (ang. double extortion), grożąc ujawnieniem wykradzionych danych, jeżeli okup nie zostanie zapłacony. Jego celem są głównie organizacje o złożonej infrastrukturze, takie jak instytucje rządowe, firmy technologiczne czy sektor zdrowia. W pierwszych atakach, zarejestrowanych we wrześniu 2024 roku, Interlock wykorzystywał niezałatane luki w zabezpieczeniach, aby przejąć kontrolę nad systemami ofiar.

Zaawansowane techniki ataku

Proces ataku trwa średnio 17 dni i zaczyna się od fałszywego pliku instalatora Google Chrome, który uruchamia złośliwe oprogramowanie typu RAT (Remote Access Trojan). Następnie, zainstalowany skrypt PowerShell zapewnia napastnikom trwały dostęp do systemu, umożliwiając m.in. kradzież poświadczeń i rejestrowanie naciśnięć klawiszy. Dalsze działania obejmują wykorzystanie technik takich jak kerberoasting oraz narzędzi, takich jak Azure Storage Explorer i AzCopy, do przesyłania danych do chmury kontrolowanej przez atakujących.

Powiązania z Rhysida

Analizy Cisco Talos sugerują, iż Interlock może być ewolucją wcześniejszego ransomware Rhysida. Podobieństwa w kodzie, metodach ataku i listach wykluczeń plików wskazują na wspólną linię rozwoju obu wariantów. Interlock dodatkowo stosuje nowe techniki, które zwiększają jego skuteczność, np. groźby ujawnienia danych ofiar w ciągu 96 godzin od ataku.

Rosnące zagrożenie dla dużych organizacji

Interlock jest kolejnym dowodem na to, iż ransomware staje się coraz bardziej wyspecjalizowane i groźne. Ataki takie jak ten podkreślają znaczenie inwestowania w zaawansowane rozwiązania z zakresu cyberbezpieczeństwa oraz regularne aktualizowanie zabezpieczeń, aby zminimalizować ryzyko naruszeń.

źródło: Cisco Talos