interlock
Nowe TechnologieInne

Interlock: Nowa fala cyberataków na korporacje

Maciek Rataj

Ransomware, czyli złośliwe oprogramowanie, które szyfruje dane i żąda okupu za ich odszyfrowanie, pozostaje jednym z najpoważniejszych zagrożeń w cyfrowym świecie. Ten typ ataków nieustannie ewoluuje, co stwarza poważne wyzwania zarówno dla organizacji, jak i specjalistów ds. cyberbezpieczeństwa. W ostatnich latach pojawiły się nowe warianty ransomware, które wykorzystują coraz bardziej zaawansowane techniki, by przechytrzyć istniejące zabezpieczenia i wywołać jak największe szkody. Jednym z takich nowych graczy jest ransomware o nazwie Interlock, który wzbudził zainteresowanie zespołu badawczego Cisco Talos. Jego zaawansowane mechanizmy oraz unikalne podejście do prowadzenia ataków stanowią poważne wyzwanie.

Czym jest Interlock?

Interlock to rodzaj ransomware, który nie tylko szyfruje dane ofiar, ale także stosuje tzw. podwójne wymuszenie (double extortion). Ta strategia polega na równoczesnym szyfrowaniu plików oraz grożeniu ujawnieniem wykradzionych danych. Dzięki temu atakujący zyskują dwie drogi do uzyskania okupu – ofiara może zapłacić, by odzyskać dostęp do swoich plików, lub uniknąć ujawnienia wrażliwych informacji. Ataki Interlocka koncentrują się głównie na dużych organizacjach, co jest zgodne z tzw. „big-game hunting” – strategią ataków na największe cele, posiadające cenne dane oraz skomplikowaną infrastrukturę. Interlock skutecznie infiltruje sieci ofiar, wykorzystując zaawansowane narzędzia, aby eskalować swoje uprawnienia.

Jak działa Interlock?

Badania Cisco Talos ujawniają, że ataki przeprowadzone przy użyciu Interlocka trwają średnio 17 dni, licząc od momentu pierwszego naruszenia do wprowadzenia ransomware. W pierwszym etapie ataku, złośliwe oprogramowanie uzyskuje dostęp do systemu ofiary za pomocą fałszywego pliku instalatora przeglądarki Google Chrome. Po uruchomieniu tego pliku, instalowane jest złośliwe oprogramowanie typu RAT (Remote Access Trojan), które umożliwia atakującym dalszy dostęp do systemu. Następnie, skrypt PowerShell zapewnia trwały dostęp, co pozwala napastnikom na dalsze działania.

Ransomware Interlock używa także złodzieja poświadczeń napisanego w języku Golang, który kopiuje dane logowania przechowywane w przeglądarkach ofiary i zapisuje je w pliku. Dodatkowo, keylogger rejestruje naciśnięcia klawiszy, a atakujący stosują także technikę kerberoasting, aby zdobyć poświadczenia o wyższych uprawnieniach w systemie.

W trakcie ataku Interlock uruchamia narzędzia takie jak Azure Storage Explorer i AzCopy, które pozwalają na przesyłanie danych do chmury Azure, kontrolowanej przez napastnika. W końcowej fazie ataku, Interlock szyfruje pliki ofiar, nadając im rozszerzenie „.Interlock”. Ponadto, w każdym zaszyfrowanym folderze umieszczany jest plik z żądaniem okupu, który zawiera groźbę ujawnienia danych ofiary, jeśli nie zostanie dokonana zapłata w ciągu 96 godzin.

Interlock a Rhysida: Potencjalna ewolucja

Zespół Cisco Talos zauważył pewne podobieństwa między Interlockiem a wcześniejszym ransomware, Rhysida, co sugeruje, że Interlock może być ewolucją tego wcześniejszego zagrożenia. Badania wykazały nakładające się fragmenty kodu w plikach binarnych obu rodzajów ransomware. Dodatkowo, lista wykluczeń plików i folderów w wariancie Interlock dla systemu Windows jest podobna do tej, która została wcześniej zaobserwowana w Rhysidzie. Rhysida zyskała rozgłos w sierpniu 2023 roku, kiedy to Cisco Talos opublikowało ostrzeżenie o tym zagrożeniu.

Rosnące zagrożenie i wnioski

Interlock demonstruje wyjątkowy poziom zaawansowania technicznego i stosuje złożone metody ataku – od uzyskania początkowego dostępu, po skuteczne szyfrowanie danych i żądanie okupu. Kampania ta pokazuje rosnące zagrożenie, jakie stanowią wyspecjalizowane grupy ransomware, które koncentrują się na atakowaniu dużych organizacji, posiadających krytyczne dane. Istotnym wnioskiem jest to, że zagrożenie to nie tylko ma wymiar finansowy, ale również stanowi poważne wyzwanie w kontekście bezpieczeństwa informacji. Firmy powinny zatem wdrożyć odpowiednie procedury zabezpieczające oraz systemy monitorujące, aby minimalizować ryzyko takich ataków i zminimalizować potencjalne straty.

Podsumowując, Interlock to zaawansowane i niebezpieczne ransomware, które stanowi poważne zagrożenie dla organizacji na całym świecie. Jego techniki ataku oraz stosowanie podwójnego wymuszenia zwiększają skuteczność tego typu złośliwego oprogramowania, a jego ewolucja z Rhysida wskazuje na rosnącą adaptację cyberprzestępców w tworzeniu bardziej skomplikowanych i efektywnych narzędzi ataku. Organizacje muszą więc pozostać czujne i wdrażać najnowsze środki ochrony przed tego typu zagrożeniami.

Polecane:
Jak wybrać najlepszy internet do domu? Praktyczny poradnik

Zobacz również

Rynek pracy IT w erze AI: poszukiwany, poszukiwana – dane justjoin.it oraz Freelancehunt

Maciek Rataj
mfa

Bombardowanie MFA – nowy atak cyberprzestępców

Maciek Rataj
pracowników

Monotonia, nadwaga to problemy polskich pracowników?

Maciek Rataj