Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA), Министерство здравоохранения и социальных служб (HHS) и многоштатный аналитический центр обмена информацией (MS-ISAC) выпустили совместное предупреждение о новой группе вымогателей Interlock, замеченной в атаках на организации Северной Америки и Европы с сентября 2024 года. Группа использует сложные методы социальной инженерии и двойной шантаж, что делает ее особенно опасной для предприятий и критической инфраструктуры.
Описание
Interlock действует по принципу финансовой мотивации, выбирая жертв исходя из удобного момента для атаки. В отличие от многих других групп, они проникают в системы через загрузку с легитимных, но скомпрометированных сайтов - так называемый drive-by download. Они также применяют технику ClickFix, при которой пользователей обманом заставляют запустить вредоносный скрипт под видом решения технической проблемы. После проникновения злоумышленники используют PowerShell для сбора информации, кражи учетных данных и продвижения по сети.
Особую опасность представляет их двойная схема вымогательства: сначала данные крадутся, а затем системы шифруются. Это увеличивает давление на жертв, поскольку отказ от выплаты может привести к утечке конфиденциальной информации. Interlock требует выкуп в биткоинах, а инструкции по оплате передаются только после прямого контакта с жертвой через Tor-браузер.
ФБР отмечает, что группа использует сложные инструменты, включая Cobalt Strike, AnyDesk и PuTTY, а также специализированные вредоносные программы, такие как Interlock RAT и NodeSnake RAT. Кроме того, злоумышленники применяют уязвимости в виртуальных машинах (VM), что может привести к серьезным сбоям в работе компаний.
Для защиты от Interlock эксперты рекомендуют несколько ключевых мер: внедрение DNS-фильтрации и межсетевых экранов, регулярное обновление ПО, сегментацию сетей для ограничения перемещения злоумышленников, а также строгую политику аутентификации с обязательным использованием MFA. Также важно обучать сотрудников распознаванию фишинговых атак и других методов социальной инженерии.
Группа уже успела нанести ущерб ряду организаций, и, по прогнозам, ее активность будет расти. Чтобы предотвратить масштабные инциденты, компании должны заранее укреплять свои системы и оперативно реагировать на подозрительную активность.
Эта угроза подтверждает, что киберпреступники постоянно совершенствуют свои методы, и только комплексный подход к безопасности может помочь организациям избежать серьезных последствий. Внимание к деталям, своевременное обновление защитных механизмов и обучение персонала - ключевые элементы эффективной защиты от Interlock и других групп вымогателей.
Индикаторы компрометации
SHA1
- 3703374c9622f74edc9c8e3a47a5d53007f7721e
- 514946a8fc248de1ccf0dbeee2108a3b4d75b5f6
- b625cc9e4024d09084e80a4a42ab7ccaa6afb61d
SHA256
- 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b
- 1845a910dcde8c6e45ad2e0c48439e5ab8bbbeb731f2af11a1b7bbab3bfe0127
- 18a507bf1c533aad8e6f2a2b023fbbcac02a477e8f05b095ee29b52b90d47421
- 1a70f4eef11fbecb721b9bab1c9ff43a8c4cd7b2cafef08c033c77070c6fe069
- 1d04e33009bcd017898b9e1387e40b5c04279c02ebc110f12e4a724ccdb9e4fb
- 2814b33ce81d2d2e528bb1ed4290d665569f112c9be54e65abca50c41314d462
- 28c3c50d115d2b8ffc7ba0a8de9572fbe307907aaae3a486aabd8c0266e9426f
- 44887125aa2df864226421ee694d51e5535d8c6f70e327e9bcb366e43fd892c1
- 4b036cc9930bb42454172f888b8fde1087797fc0c9d31ab546748bd2496bd3e5
- 64a0ab00d90682b1807c5d7da1a4ae67cde4c5757fc7d995d8f126f0ec8ae983
- 68a49d5a097e3850f3bb572baf2b75a8e158dadb70baddc205c2628a9b660e7a
- 70bb799557da5ac4f18093decc60c96c13359e30f246683815a512d7f9824c8f
- 70ee22d394e107fbb807d86d187c216ad66b8537edc67931559a8aef18f6b5b3
- 73a9a1e38ff40908bcc15df2954246883dadfb991f3c74f6c514b4cffdabde66
- 7a43789216ce242524e321d2222fa50820a532e29175e0a2e685459a19e09069
- 7b9e12e3561285181634ab32015eb653ab5e5cfa157dd16cdd327104b258c332
- 88f26f3721076f74996f8518469d98bf9be0eaee5b9eccc72867ebfc25ea4e83
- 8eb7e3e8f3ee31d382359a8a232c984bdaa130584cad11683749026e5df1fdc3
- 94bf0aba5f9f32b9c35e8dfc70afd8a35621ed6ef084453dc1b10719ae72f8e2
- 96babe53d6569ee3b4d8fc09c2a6557e49ebc2ed1b965abda0f7f51378557eb1
- 97931d2e2e449ac3691eb526f6f60e2f828de89074bdac07bd7dbdfd51af9fa0
- a4069aa29628e64ea63b4fb3e29d16dcc368c5add304358a47097eedafbbb565
- a4f0b68052e8da9a80b70407a92400c6a5def19717e0240ac608612476e1137e
- a70af759e38219ca3a7f7645f3e103b13c9fb1db6d13b68f3d468b7987540ddf
- c20baba26ebb596de14b403b9f78ddc3c13ce9870eea332476ac2c1dd582aa07
- c733d85f445004c9d6918f7c09a1e0d38a8f3b37ad825cd544b865dba36a1ba6
- d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
- d535bdc9970a3c6f7ebf0b229c695082a73eaeaf35a63cd8a0e7e6e3ceb22795
- dfb5ba578b81f05593c047f2c822eeb03785aecffb1504dcb7f8357e898b5024
- e4d6fe517cdf3790dfa51c62457f5acd8cb961ab1f083de37b15fd2fddeb9b8f
- e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1
- f51b3d054995803d04a754ea3ff7d31823fab654393e8054b227092580be43db
- fafcd5404a992850ffcffee46221f9b2ff716006aecb637b80e5cd5aa112d79c
- fba4883bf4f73aa48a957d894051d78e0085ecc3170b1ff50e61ccec6aeee2cd
- ff7ad2376ae01e4b3f1e1d7ae630f87b8262b5c11bc5d953e1ac34ffe81401b5
