#StopRansomware: Interlock | CISA
摘要
联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、卫生与公众服务部(HHS)和多州信息共享与分析中心(MS-ISAC)联合发布此安全公告,旨在传播通过FBI调查(截至2025年6月)和可信第三方报告确定的已知Interlock勒索软件指标(IOCs)和战术、技术与程序(TTPs)。
Interlock勒索软件变种首次发现于2024年9月下旬,主要针对北美和欧洲的各种企业、关键基础设施和其他组织。FBI确认这些攻击者基于机会选择目标,其活动具有经济动机。FBI已知Interlock勒索软件加密器针对Windows和Linux操作系统设计;这些加密器已被观察到在两种操作系统上加密虚拟机(VMs)。
技术细节
初始访问
FBI观察到Interlock攻击者通过受损合法网站的偷渡式下载获取初始访问权限,这是勒索软件组织中不常见的方法。攻击者还使用ClickFix社交工程技术进行初始访问,诱骗受害者在修复系统问题的幌子下执行恶意负载。
执行与持久化
伪造的Google Chrome浏览器可执行文件充当远程访问木马(RAT),执行PowerShell脚本,将文件放入Windows启动文件夹,从而在每次受害者登录时运行RAT,建立持久化。
侦察
PowerShell脚本执行一系列命令收集受害者机器信息,包括:
WindowsIdentity.GetCurrent():返回当前Windows用户systeminfo:显示详细配置信息tasklist/svc:列出服务信息Get-Service:获取服务对象Get-PSDrive:获取驱动器信息arp -a:显示和修改ARP缓存表条目
命令与控制
攻击者使用Cobalt Strike和SystemBC等C2应用程序,以及Interlock RAT和NodeSnake RAT(截至2025年3月)进行命令控制和命令执行。
凭证访问、横向移动和权限提升
攻击者使用PowerShell命令下载凭证窃取器(cht.exe)和键盘记录器二进制文件(klg.dll)。还观察到执行不同版本的信息窃取器,包括Lumma Stealer和Berserk Stealer,以收集凭证进行横向移动和权限提升。
收集与渗出
攻击者利用Azure Storage Explorer导航受害者的Microsoft Azure存储账户,然后使用AzCopy将数据上传到Azure存储blob进行渗出。还通过WinSCP等文件传输工具渗出数据。
影响
缓解措施
作者机构建议组织实施以下缓解措施:
- 通过实施DNS过滤和Web访问防火墙防止初始访问
- 培训用户识别和报告社交工程尝试
- 实施恢复计划,保留多个数据副本
- 要求所有账户符合NIST密码标准
- 尽可能要求多因素认证(MFA)
- 保持所有操作系统、软件和固件最新
- 在网络边界实施网络分段
- 使用网络监控工具检测异常活动
- 安装和更新防病毒软件
- 审计具有管理权限的用户账户
- 禁用未使用的端口
- 维护离线数据备份
MITRE ATT&CK技术映射
表格详细列出了Interlock勒索软件使用的ATT&CK技术,包括:
- 初始访问(T1189)
- 执行(T1059.001, T1204.004)
- 持久化(T1547.001)
- 权限提升(T1078.002)
- 防御规避(TA0005, T1036.005, T1218.011, T1070.004)
- 凭证访问(TA0006, T1555.003, T1056, T1056.001, T1558.003)
- 发现(T1033, T1082, T1007, T1016)
- 横向移动(T1078, T1021.001)
- 收集(T1530)
- 命令与控制(TA0011, T1105, T1219)
- 渗出(T1567.002, T1048)
- 影响(T1486, T1657)
报告
FBI、CISA和MS-ISAC鼓励组织通过FBI的互联网犯罪投诉中心(IC3)、当地FBI外地办事处或CISA的事件报告系统报告勒索软件事件。作者机构不鼓励支付赎金,因为付款不能保证恢复文件,且可能助长攻击者的气焰。