美国网安机构警告:Interlock勒索软件以隐蔽攻击瞄准医疗行业
四大美国机构联合发布网络安全警报,警告Interlock勒索软件活动构成的威胁日益升级,该组织越来越多地针对北美和欧洲的企业、医疗提供商和关键基础设施实体。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、卫生与公众服务部(HHS)以及多州信息共享与分析中心(MS-ISAC)于周二发布了该警报,作为#StopRansomware倡议的一部分。这些机构强调了Interlock的快速演变及其对高影响行业(尤其是医疗)的关注。
根据咨询,Interlock于2024年9月出现,并自此发起了以财务动机为主的勒索软件活动。该组织采用双重勒索模式,既加密受害者的系统又窃取数据,威胁如果未支付赎金就公布被盗文件。
该团伙不在其初始说明中包含赎金要求。相反,受害者会获得一个唯一代码,并被引导至Tor网络上的.onion URL,在那里进行赎金谈判。
联邦调查人员表示,Interlock的行为者是机会主义的,而不是针对特定行业。尽管如此,医疗组织经常成为受害者。其中最引人注目的受害者包括俄亥俄州主要医疗系统Kettering Health和财富500强肾脏护理公司DaVita。
Interlock如何获得入口
FBI将Interlock的初始策略描述为在勒索软件团体中“不常见”, citing 从受感染但其他方面合法的网站进行驱动下载。在这些情况下,攻击者将恶意负载伪装成Google Chrome或Microsoft Edge的虚假更新。
Interlock还使用社交工程方法。一种这样的策略涉及“ClickFix”,它欺骗用户以修复系统错误为借口执行恶意代码。一个称为“FileFix”的变体使用本机Windows元素来部署恶意软件,包括远程访问木马(RAT),同时逃避安全检测。
一旦进入系统,Interlock会部署诸如Interlock RAT和NodeSnake RAT等工具来维持控制、与命令和控制(C2)服务器通信并执行进一步攻击。他们还使用PowerShell脚本下载凭据窃取恶意软件,如cht.exe和klg.dll,这些软件捕获用户名、密码和击键。这些凭据随后用于跨网络的横向移动,并可以通过诸如Kerberoasting等技术帮助提升权限。
为了从云环境中提取数据,该组织利用合法工具,包括Azure Storage Explorer和AzCopy。在Linux系统上,Interlock已被观察到部署一种罕见的基于FreeBSD的ELF加密器,与更常见的针对VMware ESXi的勒索软件负载不同。
防护Interlock攻击
为了降低Interlock勒索软件攻击的风险和影响,联邦咨询敦促组织采取以下步骤:
- 实施DNS过滤以阻止访问恶意网站
- 使用Web应用程序防火墙过滤有害流量
- 保持系统和软件更新和修补
- 对所有账户强制执行多因素认证(MFA)
- 分段网络以遏制威胁并防止横向移动
- 培训员工识别网络钓鱼和社交工程
- 维护关键数据的安全、离线且不可变的备份
有关完整缓解措施列表和访问免费网络安全资源,建议组织访问stopransomware.gov。如果您的组织受到勒索软件影响或怀疑恶意活动,请联系您当地的FBI外地办事处或通过CISA的事件报告系统报告。