Interlock勒索软件以隐蔽攻击瞄准医疗行业，美国网安机构发出警告

美国四大网络安全机构近日联合发布安全警报，警告由Interlock勒索软件组织构成的日益严重的威胁。该组织正将攻击目标锁定为北美和欧洲的企业、医疗机构和关键基础设施实体。

联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、卫生与公众服务部（HHS）以及多州信息共享与分析中心（MS-ISAC）于周二发布了这份警报，作为#StopRansomware倡议的一部分。这些机构强调Interlock的快速演变及其对高影响行业（尤其是医疗保健）的关注。

攻击手法分析

根据公告，Interlock于2024年9月出现，此后发起了以财务动机为主的勒索软件活动。该组织采用双重勒索模式，既加密受害者的系统又窃取数据，威胁如果不支付赎金就公布被盗文件。

该团伙不会在最初的勒索通知中包含赎金要求。相反，受害者会获得一个唯一代码，并被引导至Tor网络上的.onion网址进行赎金谈判。

联邦调查人员表示，Interlock的攻击者更多是机会主义者而非针对特定行业。尽管如此，医疗机构仍是常见受害者。其中最引人注目的受害者包括俄亥俄州大型医疗系统Kettering Health和财富500强肾脏护理公司DaVita。

入侵途径

FBI将Interlock的初始策略描述为勒索软件组织中"不常见"的，指出其通过受损但看似合法的网站进行路过式下载（drive-by downloads）。在这些案例中，攻击者将恶意负载伪装成Google Chrome或Microsoft Edge的虚假更新。

Interlock还使用社会工程学方法。一种名为"ClickFix"的策略欺骗用户执行恶意代码，借口是修复系统错误。另一种名为"FileFix"的变体利用Windows原生元素部署恶意软件，包括远程访问木马（RAT），同时规避安全检测。

一旦进入系统，Interlock会部署Interlock RAT和NodeSnake RAT等工具来维持控制、与命令控制（C2）服务器通信并执行进一步攻击。他们还使用PowerShell脚本下载窃取凭证的恶意软件，如cht.exe和klg.dll，这些软件会捕获用户名、密码和击键记录。这些凭证随后被用于在网络中进行横向移动，并可通过Kerberoasting等技术提升权限。

为了从云环境中提取数据，该组织利用了包括Azure Storage Explorer和AzCopy在内的合法工具。在Linux系统上，Interlock被观察到部署了一种罕见的基于FreeBSD的ELF加密器，这与更常见的针对VMware ESXi的勒索软件负载不同。

防护建议

为降低Interlock勒索软件攻击的风险和影响，联邦公告敦促组织采取以下措施：

• 实施DNS过滤以阻止访问恶意网站
• 使用Web应用防火墙过滤有害流量
• 保持系统和软件更新并打补丁
• 对所有账户强制执行多因素认证（MFA）
• 分段网络以遏制威胁并防止横向移动
• 培训员工识别钓鱼和社会工程攻击
• 维护关键数据的安全、离线且不可变的备份

如需完整缓解措施列表和免费网络安全资源，建议组织访问stopransomware.gov。如果您的组织受到勒索软件影响或怀疑存在恶意活动，请联系当地FBI外勤办公室或通过CISA的事件报告系统进行报告。