Četiri glavne američke agencije objavile su zajedničko upozorenje o kibernetičkoj sigurnosti upozorenja o eskaliranoj prijetnji koju predstavlja operacija Ransomwarea, koja sve više ciljana na posao, pružatelje zdravstvenih usluga i kritične infrastrukturne subjekte širom Sjeverne Amerike i Europe. Federalni istražni ured (FBI), agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), Odjel za zdravstvo i ljudske usluge (HHS) i višedržavni centar za dijeljenje i analizu informacija (MS-ISAC) objavili su upozorenje u utorak u sklopu inicijative #stopransomware. Agencije su naglasile brzu evoluciju Intercock-a i usredotočene na sektore visokog utjecaja, posebno na zdravstvo.
Prema savjetima, Intercloge se pojavio u rujnu 2024. godine i od tada je pokrenuo financijski motivirane kampanje za ransomware. Grupa koristi model s dvostrukim propisima koji uključuje i šifriranje sustava žrtve i krađu podataka, prijeteći da će objaviti ukradene datoteke ako otkupnina ne bude plaćena.
Banda ne uključuje zahtjeve otkupnine u svoje početne bilješke. Umjesto toga, žrtvama se daje jedinstveni kôd i usmjerene na .onionski URL na mreži Tor, gdje se odvijaju pregovori o Ransoru.
Federalni istražitelji kažu da su akteri za blokiranje oportunističke, a ne ciljaju na određene industrije. Ipak, zdravstvene organizacije su česte žrtve. Među najviše Žrtve visokog profila su zdravlje ketteringglavni zdravstveni sustav sa sjedištem u Ohiju i tvrtka za njegu bubrega Fortune 500 Davita.
Kako se međulock dobiva unos
FBI je opisala početnu taktiku Interlock-a kao “neuobičajene” među ransomware grupama, navodeći preuzimanje pogona s kompromitiranih, ali inače legitimnih web stranica. U tim slučajevima, napadači prerušavaju zlonamjerne opterećenja u lažna ažuriranja za Google Chrome ili Microsoft Edge.
Interclock također koristi metode socijalnog inženjerstva. Jedna takva taktika uključuje “ClickFix”, koji obmanjuje korisnike u izvršavanju zlonamjernog koda pod izgovorom za popravljanje pogreške u sustavu. Varijacija nazvana “FileFix” koristi izvorne Windows elemente za implementaciju zlonamjernog softvera, uključujući daljinski pristup trojane (štakore), dok izbjegava sigurnosno otkrivanje.
Jednom u sustavu, Interclock implementira alate poput Interlock Rat i NodSnake Rat za održavanje kontrolnih poslužitelja, komunicirajte s poslužiteljima naredbe i C2 (C2) i izvršava daljnje napade. Oni također koriste PowerShell skripte za preuzimanje zlonamjernog softvera za krađu vjerodajnica, poput CHT.EXE i KLG.DLL, koji bilježe korisnička imena, lozinke i tipke. Te se vjerodajnice koriste za bočno kretanje preko mreža i mogu pomoći u eskaliranju privilegija kroz tehnike poput kerberoasting -a.
Za izvlačenje podataka iz oblačnih okruženja, grupa koristi legitimne alate, uključujući Azure Storage Explorer i Azcopy. Na Linux sustavima primijećeno je da je blokiranje raspoređivanja rijetkog ELF-a zasnovanog na šifriranju, razlikujući se od češće viđenih VMware ESXI usmjerenih na opterećenja ransomwarea.
Zaštita od napada blokade
Da bi se smanjio rizik i utjecaj napada na ransomware, savezni savjetodavni nagovor organizacije da poduzmu sljedeće korake:
- Implementirajte DNS filtriranje kako biste blokirali pristup zlonamjernim web stranicama
- Koristite vatrozide web aplikacije za filtriranje štetnog prometa
- Držite sustave i softver ažurirani i zakrpani
- Provedite multifaktorsku provjeru autentičnosti (MFA) za sve račune
- Mreže segmenta koje sadrže prijetnje i spriječiti bočno kretanje
- Obukajte zaposlenike da identificiraju krađu identiteta i socijalni inženjering
- Održavajte sigurne, izvanmrežne i nepromjenjive sigurnosne kopije kritičnih podataka
Za potpuni popis ublažavanja i za pristup besplatnim resursima za kibernetičku sigurnost, savjetuju se organizacije posjetite stopransomware.gov. Ako je na vašu organizaciju utjecalo na ransomware ili sumnja na zlonamjerne aktivnosti, obratite se lokalnom terenskom uredu FBI -a ili prijavite CISA putem sustava izvještavanja o incidentu agencije.
Zanimate kako je portal za korisničku podršku postao nula za globalno curenje podataka? Istražite naše cjelovito izvješće o Dellovo kršenje i što World_Leaks tvrdi.