美国机构警告Interlock勒索软件攻击激增

美国多家联邦机构联合发布网络安全警报,详细分析Interlock勒索软件的双重勒索模式、社会工程攻击手法及防御措施,涉及医疗保健和关键基础设施领域的安全防护建议。

美国机构警告Interlock勒索软件攻击激增

四家美国主要联邦机构联合发布网络安全警报,警告Interlock勒索软件活动构成的威胁正在升级。该勒索软件已越来越多地针对北美和欧洲的企业、医疗保健提供商和关键基础设施实体。

联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、卫生与公众服务部(HHS)以及多州信息共享与分析中心(MS-ISAC)于周二发布了该警报,作为#StopRansomware倡议的一部分。这些机构强调Interlock的快速演变及其对高影响行业(尤其是医疗保健)的关注。

根据公告,Interlock于2024年9月出现,并自此发起以财务动机为主的勒索软件活动。该组织采用双重勒索模式,既加密受害者的系统又窃取数据,威胁如果未支付赎金就公布被盗文件。

该团伙不在其初始通知中包含赎金要求。相反,受害者会获得一个唯一代码,并被引导至Tor网络上的.onion URL进行赎金谈判。

联邦调查人员表示,Interlock的行为者是机会主义的,而非针对特定行业。尽管如此,医疗保健组织仍是频繁的受害者。其中最引人注目的受害者包括俄亥俄州主要医疗系统Kettering Health和财富500强肾脏护理公司DaVita。

Interlock如何获得入口

FBI将Interlock的初始策略描述为在勒索软件团体中“不常见”, citing 通过受损但其他方面合法的网站进行路过式下载。在这些情况下,攻击者将恶意负载伪装成某中心Chrome或某中心Edge的虚假更新。

Interlock还使用社会工程方法。一种此类策略涉及“ClickFix”,它欺骗用户以修复系统错误为借口执行恶意代码。一个名为“FileFix”的变体使用本地Windows元素部署恶意软件,包括远程访问木马(RAT),同时逃避安全检测。

一旦进入系统,Interlock会部署Interlock RAT和NodeSnake RAT等工具来维持控制、与命令和控制(C2)服务器通信并执行进一步攻击。他们还使用PowerShell脚本下载凭据窃取恶意软件,例如cht.exe和klg.dll,这些软件捕获用户名、密码和击键。这些凭据随后用于跨网络横向移动,并可通过Kerberoasting等技术帮助提升权限。

为了从云环境中提取数据,该组织利用合法工具,包括某机构存储资源管理器和AzCopy。在Linux系统上,观察到Interlock部署了一种罕见的基于FreeBSD的ELF加密器,与更常见的针对VMware ESXi的勒索软件负载不同。

防御Interlock攻击

为了降低Interlock勒索软件攻击的风险和影响,联邦公告敦促组织采取以下步骤:

  • 实施DNS过滤以阻止访问恶意网站
  • 使用Web应用程序防火墙过滤有害流量
  • 保持系统和软件更新和打补丁
  • 对所有账户强制执行多因素认证(MFA)
  • 分段网络以遏制威胁并防止横向移动
  • 培训员工识别网络钓鱼和社会工程
  • 维护关键数据的安全、离线且不可变的备份

有关完整的缓解措施列表并访问免费网络安全资源,建议组织访问stopransomware.gov。如果您的组织受到勒索软件影响或怀疑存在恶意活动,请联系当地的FBI外地办事处或通过该机构的事件报告系统向CISA报告。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次