Cisco Talos Incident Response отмечает, что с момента своего появления в сентябре 2024 года группа Interlock ransomware ведет охоту на крупную дичь и совершает двойные вымогательские атаки, направленные на такие отрасли, как здравоохранение, технологии, правительство в США и производство в Европе.
Interlock ransomware
Группа использует многокомпонентную цепочку доставки, инициируя атаку через взломанный легитимный новостной веб-сайт, который предлагает жертвам загрузить поддельный исполняемый файл обновления браузера. Этот исполняемый файл представляет собой инструмент удаленного доступа (RAT), который устанавливает постоянство, собирает системную информацию и связывается с командно-контрольным (C2) сервером. Злоумышленники также используют похититель учетных данных, кейлоггер и такие инструменты, как AnyDesk, PuTTY и Azure Storage Explorer, для бокового перемещения и эксфильтрации данных.
Interlock ransomware, имеющий разновидности для Windows и Linux, шифрует файлы и добавляет к ним расширение «.Interlock», избегая при этом шифрования некоторых системных папок и расширений файлов. Вариант для Windows использует шифрование Cipher Block Chaining (CBC), а вариант для Linux - CBC или RSA-шифрование. Ransomware обеспечивает постоянство, создавая ежедневное задание, и может удалять себя после шифрования. Записка с требованием выкупа настраивается на отображение при интерактивном входе в систему с помощью объектов групповой политики и требует ответа в течение 96 часов для предотвращения утечки данных и оповещения СМИ. Talos IR отмечает, что Interlock ransomware может быть связан с операторами или разработчиками Rhysida ransomware, о чем свидетельствуют схожие тактики, методы и процедуры (TTP), а также поведение двоичных файлов шифровальщика ransomware. Обе группы используют AzCopy для эксфильтрации данных и предоставляют записки с выкупом, в которых предлагают помощь, а не угрожают, что указывает на тенденцию диверсификации и сотрудничества между группами, создающими вымогательские программы.
Indicators of Compromise
IPv4
- 159.223.46.184
- 195.201.21.34
- 23.95.182.59
URLs
- http://23.95.182.59/31279geuwtoisgdehbiuowaehsgdb/cht
- http://23.95.182.59/31279geuwtoisgdehbiuowaehsgdb/klg
- https://apple-online.shop/ChromeSetup.exe
- https://rvthereyet.com/wp-admin/images/rsggj.php
SHA256
- 15497193a54dd105c30272faf91346e93c852517db60bbb41faf51a9502d8f3e
- 1b91b0dedf19d07324d2b61fbbe120fed77a90b74e8680df94f802a3bf6bb00b
- 1f568c2eaa8325bf7afcf7a90f9595f8b601a085769a44c4ffa1cdfdd283594c
- 2213e21afcd5c97713e87be3c09a59353bbe45d7416c679fef8284c3cae030ec
- 39539766ae8f5256e6f21d853b8b7ea8f003d29f6d7cd57d1ecb621dc2b97c89
- 5cbd5c48ddf5af0cb71f7eb0be7ffd1c6d3885a38c35fa33ea1587bbee483e31
- 64a0ab00d90682b1807c5d7da1a4ae67cde4c5757fc7d995d8f126f0ec8ae983
- 6933141fbdcdcaa9e92d6586dd549ac1cb21583ba9a27aa23cf133ecfdf36ddf
- 8e273e1e65b337ad8d3b2dec6264ed90d1d0662bd04d92cbd02943a7e12df95a
- a26f0a2da63a838161a7d335aaa5e4b314a232acc15dcabdb6f6dbec63cda642
- b09050d68483815a72012dbdd3e87a17214fa61a16686bab734dbb9716c72763
- c9920e995fbc98cd3883ef4c4520300d5e82bab5d2a5c781e9e9fe694a43e82f
- d2e02b509f2dc4cdc6cfae7c0b9c5519a8564b0e86aa1e3eb0e316cab406a438
- e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1
- e9ff4d40aeec2ff9d2886c7e7aea7634d8997a14ca3740645fd3101808cc187b
