米国のCISA、FBI、HHS、MS-ISACは、北米およびヨーロッパの重要インフラ、企業、その他の組織を標的としたInterlockランサムウェア攻撃に関する共同警告を発表しました。
2024年9月以降活動しているInterlockは、WindowsおよびLinuxシステムの両方を標的とし、仮想マシンを暗号化するためのマルウェアを使用し、初期侵入にはドライブバイダウンロードを利用しています。
Interlockのオペレーターは、米国政府機関が説明しているように、正規のウェブサイトを侵害し、ClickFixというソーシャルエンジニアリング手法を使って被害者を騙し、悪意のあるコードを実行させています。最近では、ハッカーはFileFix攻撃に切り替えています。
以前は、このランサムウェアグループは偽のGoogle ChromeやMicrosoft Edgeのブラウザアップデートを利用してコードを配布していました。
ハッカーは、RATを使ってWindowsのスタートアップフォルダにファイルを配置し永続化を図るほか、Windowsレジストリキーを変更するPowerShellコマンドも実行していました。
リモートコントロールを確立した後、攻撃者はPowerShellコマンドを実行して認証情報窃取ツールやキーロガーを展開し、Lumma StealerやBerserk Stealerなどの情報窃取ツールも使用していることが確認されています。
横展開のために、ランサムウェアグループは侵害した認証情報やRDPツールを使用し、AnyDeskやPuTTYなどの正規ソフトウェアも展開します。また、ドメイン管理者アカウントを侵害して権限を昇格させます。
ハッカーは被害者のMicrosoft Azure Storageアカウントにアクセスし、WinSCPなどの様々なファイル転送ツールを使ってデータをAzureストレージブロブに流出させ、その後、仮想マシンの暗号化を行います。
広告。スクロールして続きをお読みください。
「Interlockの攻撃者は、データを流出させた後にシステムを暗号化する二重恐喝モデルを採用しており、被害者に対してデータの復号と流出防止のために身代金の支払いを強いる圧力を高めています」と共同警告は述べています。
このランサムウェアグループの身代金要求メモには、身代金額や支払い方法の詳細は記載されていませんが、被害者にTorベースのウェブサイトを通じて攻撃者に連絡するよう指示しています。被害者が連絡すると、ハッカーはビットコインでの身代金支払いを要求し、盗んだ情報の流出をほのめかして脅迫します。
「これまでのところ、Interlockの攻撃者は仮想マシンの暗号化のみを確認されており、ホスト、ワークステーション、物理サーバーには影響がありません。しかし、今後これらのシステムにも拡大する可能性がないとは言い切れません」と共同アドバイザリは述べています。
2024年の出現以来、Interlockは少なくとも3件の著名な侵害を主張しており、テキサス工科大学、National Presto Industries、Kettering Healthが含まれます。
関連記事: FileFix攻撃で配布される新たなInterlock RAT亜種
関連記事: SonicWall SMAアプライアンスが新たな「Overstep」マルウェアの標的に
翻訳元: https://www.securityweek.com/organizations-warned-of-interlock-ransomware-attacks/