CISAとFBIは火曜日、企業や重要インフラ組織を標的としたインターロックランサムウェアの二重脅迫攻撃が増加していると警告しました。
本日のアドバイザリは、米国保健福祉省(HHS)およびマルチステート情報共有・分析センター(MS-ISAC)と共同で作成されており、ネットワーク防御担当者に対し、2025年6月といった最近のインシデント調査で収集された侵害の指標(IOC)や、このランサムウェア集団の攻撃からネットワークを守るための緩和策を提供しています。
インターロックは比較的新しいランサムウェアオペレーションで、2024年9月に登場して以来、世界中の様々な業界セクターの被害者を標的としており、特に医療分野に注力しています。
この脅威グループは以前にも、ITツールを装って初期ネットワークアクセスを得るClickFix攻撃や、英国の大学ネットワークにNodeSnakeというリモートアクセス型トロイの木馬を展開するマルウェア攻撃にも関与していたとされています。
最近、このサイバー犯罪グループは、腎臓治療を専門とするフォーチュン500企業であるDaVitaへの侵入を主張し、システムから1.5テラバイトのデータを盗み出して流出させたほか、120以上の外来施設を運営し1万5,000人以上を雇用する医療大手Kettering Healthへのハッキングも行ったとしています。
FBIがこれらの攻撃を調査する中で、インターロック集団が通常とは異なる手法を用い、二重脅迫攻撃で被害者に圧力をかけていることが確認されました。
「FBIは、攻撃者が正規のウェブサイトを侵害してドライブバイダウンロードによる初期アクセスを得ていることを確認しました。これはランサムウェアグループの中では珍しい手法です」とアドバイザリは述べています。
「インターロックの攻撃者は、データを流出させた後にシステムを暗号化する二重脅迫モデルを採用しており、被害者に対してデータの復号と流出防止の両方のために身代金支払いを迫る圧力を強めています。」
今月初めには、このランサムウェアグループが新たなFileFix手法を取り入れ、リモートアクセス型トロイの木馬(RAT)マルウェアを配布していることも確認されました。FileFixはソーシャルエンジニアリング攻撃であり、攻撃者がWindowsファイルエクスプローラーやHTMLアプリケーション(.HTA)など信頼されたWindowsのUI要素を悪用し、標的にセキュリティ警告を表示せずに悪意のあるPowerShellやJavaScriptコードを実行させるものです。
インターロックランサムウェア攻撃からネットワークを守るために、セキュリティチームにはドメインネームシステム(DNS)フィルタリングやウェブアクセスファイアウォールの導入、ユーザーへのソーシャルエンジニアリング対策の教育が推奨されています。
また、防御担当者はシステム、ソフトウェア、ファームウェアを常に最新の状態に保ち、ネットワークを分割して侵害されたデバイスからのアクセスを制限することも求められています。
さらに、組織はID・認証情報・アクセス管理(ICAM)ポリシーを確立し、可能な限りすべてのサービスで多要素認証(MFA)を必須とする必要があります。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがいかにビジネス価値を生み出すかを明確かつ戦略的に示すことが重要だと理解しています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを意味のある対話と迅速な意思決定につなげましょう。