- Interlockランサムウェアは運用成熟度に達し、現在は医療、政府、製造業セクターを標的に
- マルチプラットフォーム攻撃、クラウドベースのC2、フルライフサイクル自動化に対応
- Forescoutは早期検知、行動分析、アクセス制御によるリスク低減を推奨
Interlockランサムウェアはもはや中堅レベルの認証情報窃取ツールではありません。現在では、独自のアフィリエイト、自動化、プロフェッショナルな運用を備えた、高度でクラウド対応のマルチプラットフォーム型ランサムウェアエンタープライズとなっています。
これは、Interlockを2024年半ばの登場以来追跡してきたセキュリティ研究者Forescoutによる新しいレポートによるものです。
レポートによると、ForescoutはInterlockが2025年2月に「運用成熟度」(フェーズ3)に到達し、医療、政府、製造業などの高価値ターゲットを攻撃できるようになったと述べています。
運用成熟度フェーズ
運用成熟度フェーズでは、Interlockはビジネスプラットフォームのように振る舞い始め、アフィリエイトやパートナーグループがその名のもとで攻撃を行えるようになりました。また、攻撃の全ライフサイクルを統合し、もはや断片的または実験的な手法に頼ることはありません。初期アクセスや横移動から暗号化、データ流出に至るまで、すべてInterlockを通じて実行可能です。
このランサムウェアはWindowsだけでなく、Linux、BSD、VMware ESXiサーバーも標的に拡大され、現在ではCloudflareトンネルやAzureのAzCopyユーティリティなど、正規のクラウドサービスをコマンド&コントロール(C2)やデータ流出に利用しています。
偽のアップデートページから、FortiClientやCisco AnyConnectなどの業務用ソフトウェアを装う手法に切り替え、ClickFixやFileFixといった新たなソーシャルエンジニアリングの誘導も採用しています。運営者は初期アクセスブローカーから認証情報を購入し、即座に特権アクセスを獲得。さらにCobalt Strike、SystemBC、Putty、PsExec、Posh-SSHなどのツールを使って横移動やネットワーク全体のシステム制御を行いました。
この悪質なプラットフォームは持続性やステルス性も向上し、現在ではクラウドを利用したデータ窃取も行っています。身代金要求文もよりプロフェッショナルな内容となり、その他の連絡も企業の「インシデントアラート」に近いものになったとForescoutは付け加えています。現在は交渉効率に重点が置かれています:
「コミュニケーションの口調は、ビジネス重視のランサムウェア運用に特有で、“セキュリティアラート”であることを強調しつつも、未払い時の顧客データ漏洩による法的責任やGDPR、HIPAAなどの規制違反による罰則を強調する内容になっています」とレポートは強調しています。
Interlockから身を守るために、Forescoutはランサムウェアの挙動を早期に検知し、攻撃対象領域を減らすことに注力するよう推奨しています。これには、リスクベースの条件付きアクセス制御の利用、行動分析の実装、PowerShellのアクティビティ監視、認証ログの異常検知、横移動の兆候監視などが含まれます。
