米国政府は、企業や重要インフラ組織に対し、Interlockランサムウェア集団による広範囲な攻撃への警戒を呼びかけました。
FBIや保健福祉省(HHS)を含む4つの政府機関による共同勧告では、このサイバー犯罪グループが用いる新しい初期侵入手法が強調されています。
これには「ドライブバイダウンロード」やClickFixソーシャルエンジニアリング手法が含まれます。
このグループは2024年9月下旬に初めて確認され、北米およびヨーロッパの様々な企業、重要インフラ、その他の組織を標的にしていることが観察されています。
2025年にInterlockによるものとされる注目度の高い事件には、米国オハイオ州西部の大手医療提供者Kettering Healthや、スコットランドの地方自治体West Lothian councilが含まれます。
彼らの好む戦術は二重恐喝であり、脅威アクターがデータを流出させるだけでなく暗号化も行い、被害者に対する身代金要求の圧力を高めています。
展開されるランサムウェア暗号化ツールは、WindowsおよびLinuxの両方のオペレーティングシステム向けに設計されています。
「これらのアクターは機会主義的で金銭的動機に基づいており、被害者が重要なサービスを提供する能力を侵害・妨害するための戦術を用いています」と、7月22日に公開された勧告は警告しています。
「珍しい」初期侵入手法
FBIは、Interlockがドライブバイダウンロードと呼ばれる手法を用いて初期侵入を行っていることを確認しており、これは「ランサムウェアグループの中では珍しい手法」と説明されています。
この手法は、正規のウェブサイトが侵害され、訪問した被害者のデバイスに自動的にマルウェアがインストールされるというものです。
Interlockのアクターはまた、初期侵入を得るためにClickFixソーシャルエンジニアリング手法も使用しています。この戦術は、偽のエラーや認証メッセージを使って被害者を誘導し、悪意のあるスクリプトをコピー&ペーストして実行させるものです。
侵害後、アフィリエイトは様々な方法で探索、認証情報の取得、横展開を行います。
PowerShellスクリプトが被害者マシンの情報を収集する一連のコマンドを実行します。
コマンド&コントロール(C2)が確立されると、一連のPowerShellコマンドが使用され、認証情報窃取ツールやキーロガーのバイナリがダウンロードされます。これらのツールは、システム間のアクセスを容易にするために、ログイン情報やユーザーのキーストロークなど様々な情報を収集します。
リモートデスクトッププロトコル(RDP)も横展開を容易にするために利用されます。
その後、AzCopy(ファイルコピー用の正規ツール)やWinSCPなどの各種ファイル転送ツールを使ってデータが流出されます。
流出後、Interlockはランサムウェア暗号化ツールを起動します。
暗号化されたファイルには、!__README__!.txtというタイトルの身代金メモが付加されます。Interlockのアフィリエイトは、このメモに初期の身代金要求や支払い指示を記載せず、代わりに各被害者に固有のコードと、.onion URL経由でランサムウェアアクターに連絡するための指示を提供します。
連絡が取られると、被害者はアクターが指定する暗号通貨ウォレットアドレスにビットコインで身代金を支払うよう指示されます。
アクターはまた、被害者が身代金要求に応じない場合、流出させたデータをTorネットワーク上のリークサイトに公開すると脅迫します。
「アクターは過去にこの脅迫を実際に実行しています」と、各機関は指摘しています。
Interlock攻撃から身を守るには
この勧告では、Interlockが用いる手法から組織を守るための様々な推奨事項が示されています。これには以下が含まれます:
- ドライブバイダウンロードのリスクを低減するため、ドメインネームシステム(DNS)を実装し、ユーザーが悪意のあるサイトにアクセスするのをブロックする
- Webアクセスファイアウォールを実装し、悪意のあるドメインやウェブサイトからの未知のコマンドやプロセスインジェクションを緩和・防止する
- 受信メール内のハイパーリンクを無効化するなど、追加のメールセキュリティ対策を実施する
- すべてのアカウントのパスワードが米国国立標準技術研究所(NIST)のパスワードガイダンスに準拠し、すべてのサービスで多要素認証(MFA)を実装することを要求する
- ネットワークトラフィックをフィルタリングし、未知または信頼できない発信元から内部システムのリモートサービスへのアクセスを防止する
- 機密または独自データおよびサーバーの複数のコピーを、物理的に分離され、セグメント化され、安全な場所に維持・保管する
- ネットワークをセグメント化してランサムウェアの拡散を防止する
翻訳元: https://www.infosecurity-magazine.com/news/us-government-interlockattacks/