美国机构警告Interlock勒索软件攻击激增

美国机构警告医疗和企业面临Interlock勒索软件攻击激增

四大美国联邦机构联合发布网络安全警报，警告Interlock勒索软件活动构成的升级威胁。该组织持续针对北美和欧洲的企业、医疗提供商和关键基础设施实体。联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、卫生与公众服务部（HHS）及多州信息共享与分析中心（MS-ISAC）于周二发布该警报，作为#StopRansomware倡议的一部分。机构强调Interlock的快速进化及其对高影响行业（尤其是医疗）的关注。

根据公告，Interlock于2024年9月出现，并自此发起以财务动机为主的勒索软件活动。该组织采用双重勒索模式，既加密受害者系统又窃取数据，威胁称若不支付赎金将公开被盗文件。

该团伙不在初始通知中包含赎金要求。相反，受害者会获得唯一代码并被引导至Tor网络上的.onion URL进行赎金谈判。

联邦调查人员表示，Interlock行为者是机会主义者而非针对特定行业。尽管如此，医疗组织仍是常见受害者。其中最知名的受害者包括俄亥俄州主要医疗系统Kettering Health和财富500强肾脏护理公司DaVita。

Interlock如何获得入口

FBI将Interlock的初始策略描述为勒索软件团体中“不常见”的， citing 通过受感染但其他方面合法的网站进行路过式下载。在这些案例中，攻击者将恶意负载伪装成Google Chrome或某中心Edge的虚假更新。

Interlock还使用社会工程方法。一种称为“ClickFix”的策略欺骗用户以修复系统错误为名执行恶意代码。另一种称为“FileFix”的变体利用原生Windows元素部署恶意软件（包括远程访问木马RAT），同时规避安全检测。

一旦进入系统，Interlock部署诸如Interlock RAT和NodeSnake RAT等工具以维持控制、与命令控制（C2）服务器通信并执行进一步攻击。他们还使用PowerShell脚本下载凭据窃取恶意软件（如cht.exe和klg.dll），这些软件捕获用户名、密码和击键。这些凭据随后用于跨网络横向移动，并可通过Kerberoasting等技术辅助权限提升。

为从云环境中提取数据，该组织利用合法工具包括某机构存储资源管理器和AzCopy。在Linux系统上，观察到Interlock部署基于FreeBSD的罕见ELF加密器，这与更常见的针对VMware ESXi的勒索软件负载不同。

防护Interlock攻击

为降低Interlock勒索软件攻击的风险和影响，联邦公告敦促组织采取以下步骤：

• 实施DNS过滤以阻止访问恶意网站
• 使用Web应用防火墙过滤有害流量
• 保持系统和软件更新及打补丁
• 对所有账户强制执行多因素认证（MFA）
• 分段网络以遏制威胁并防止横向移动
• 培训员工识别钓鱼和社会工程
• 维护关键数据的安全、离线且不可变的备份

有关完整缓解措施列表及访问免费网络安全资源，建议组织访问stopransomware.gov。若组织受勒索软件影响或怀疑恶意活动，请联系当地FBI外地办公室或通过CISA事件报告系统报告。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）或者 我的个人博客 https://blog.qife122.com/
公众号二维码