Support81
Модератор
Во вторник CISA и ФБР предупредили об активизации деятельности вируса-вымогателя Interlock, нацеленного на предприятия и организации критической инфраструктуры с целью двойного вымогательства.
Сегодняшние рекомендации были подготовлены совместно с Министерством здравоохранения и социальных служб (HHS) и Центром обмена и анализа информации между штатами (MS-ISAC). Они предоставляют специалистам по сетевой защите индикаторы компрометации (IOC), собранные в ходе расследований инцидентов, произошедших вплоть до июня 2025 года, а также меры по смягчению последствий для защиты сетей от атак этой группировки программ-вымогателей.
Interlock — относительно новая операция по вымогательству, которая появилась в сентябре 2024 года и с тех пор нападает на жертв по всему миру в различных секторах промышленности, уделяя особое внимание сектору здравоохранения.
Ранее злоумышленники были связаны с атаками ClickFix , в ходе которых они выдавали себя за ИТ-инструменты для первоначального доступа к сети, а также с атаками вредоносного ПО, в ходе которых они внедряли троян удаленного доступа NodeSnake в сети университетов Великобритании.
Недавно киберпреступная группировка взяла на себя ответственность за взлом DaVita , компании из списка Fortune 500, специализирующейся на лечении почек, что привело к краже и утечке 1,5 терабайт данных из ее систем, а также за взлом Kettering Health , гиганта в сфере здравоохранения, который управляет более чем 120 амбулаторными учреждениями и насчитывает более 15 000 сотрудников.
В ходе расследования нападений ФБР обнаружило, что банда Interlock использует необычную тактику и оказывает давление на своих жертв, осуществляя двойное вымогательство.
«ФБР зафиксировало, что злоумышленники получали первоначальный доступ посредством скрытой загрузки со взломанных легитимных веб-сайтов, что является необычным методом среди группировок, занимающихся распространением программ-вымогателей», — говорится в сообщении.
«Злоумышленники Interlock используют модель двойного вымогательства, при которой злоумышленники шифруют системы после извлечения данных, что усиливает давление на жертву, вынуждая ее платить выкуп как за расшифровку своих данных, так и за предотвращение их утечки».
Ранее в этом месяце группа вирусов-вымогателей также была замечена в использовании новой технологии FileFix для распространения вредоносного ПО типа троян для удалённого доступа (RAT). FileFix — это атака с использованием социальной инженерии, при которой злоумышленники используют доверенные элементы пользовательского интерфейса Windows, включая Проводник файлов Windows и HTML-приложения (.HTA), чтобы обманным путём заставить жертву выполнить вредоносный код PowerShell или JavaScript без отображения каких-либо предупреждений безопасности.
Чтобы защитить свои сети от атак вируса-вымогателя Interlock, группам безопасности рекомендуется внедрить фильтрацию доменных имен (DNS), брандмауэры веб-доступа и обучить пользователей распознавать попытки социальной инженерии.
Защитникам также настоятельно рекомендуется поддерживать системы, программное обеспечение и прошивки в актуальном состоянии, а также сегментировать сети, чтобы ограничить доступ со взломанных устройств.
Кроме того, организациям необходимо установить политики управления идентификацией, учетными данными и доступом (ICAM) и требовать многофакторную аутентификацию (MFA) для всех служб, когда это возможно.
