Μια νέα ομάδα ransomware, που ονομάζεται Interlock, διεξάγει στοχευμένες επιθέσεις σε οργανισμούς υγειονομικής περίθαλψης των ΗΠΑ, εταιρείες πληροφορικής, κυβερνητικές οντότητες και οργανισμούς στην Ευρώπη.
Σύμφωνα με μια αναφορά της Cisco Talos, η ομάδα Interlock ransomware στοχεύει μεγάλες εταιρείες και χρησιμοποιεί τακτικές διπλού εκβιασμού. Κλέβει πρώτα δεδομένα από τα παραβιασμένα συστήματα και μετά τα κρυπτογραφεί. Αν τα θύματα αρνηθούν να πληρώσουν λύτρα για την αποκρυπτογράφηση, απειλεί να διαρρεύσει τα κλεμμένα δεδομένα σε ένα ιστότοπο διαρροής δεδομένων, που ονομάζεται “Worldwide Secrets Blog“.
Η Cisco Talos παρατήρησε ότι η αλυσίδα επιθέσεων της Interlock κρατά περίπου 17 ημέρες, κατά τις οποίες οι hackers αποκτούν μη εξουσιοδοτημένη πρόσβαση και αναπτύσσουν ransomware για την κρυπτογράφηση αρχείων.
Δείτε επίσης: Επίθεση Ransomware στην πόλη Columbus επηρεάζει 500.000 άτομα
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Aria: Ένα νέο επαναστατικό Robot Girlfriend
Η αρχική πρόσβαση πραγματοποιείται συχνά μέσω ενός πλαστού προγράμματος ενημέρωσης του προγράμματος περιήγησης Google Chrome. Αυτό εγκαθιστά ένα εργαλείο απομακρυσμένης πρόσβασης (RAT) που μεταμφιέζεται ως νόμιμη ενημέρωση. Κατά την εκτέλεση, το RAT συλλέγει λεπτομερείς πληροφορίες συστήματος, δημιουργεί μια ασφαλή σύνδεση με έναν διακομιστή εντολών και ελέγχου (C2) και μεταδίδει κρυπτογραφημένα δεδομένα. Επίσης, είναι δυνατή η κλοπή διαπιστευτηρίων.
Σύμφωνα με τους ερευνητές, η ομάδα αποφεύγει αποτελεσματικά τον εντοπισμό απενεργοποιώντας Endpoint Detection and Response (EDR) λύσεις και διαγράφοντας τα αρχεία καταγραφής συμβάντων.
Το Lateral movement επιτυγχάνεται μέσω του Remote Desktop Protocol (RDP) και άλλων εργαλείων απομακρυσμένης πρόσβασης. Αυτό δείχνει ότι η ransomware συμμορία Interlock έχει αναπτύξει τακτικές για την προσέγγιση διαφορετικών συστημάτων εντός ενός δικτύου.
To ransomware στοχεύει Windows και Linux συστήματα και χρησιμοποιούνται διαφορετικές παραλλαγές για το καθένα, στο στάδιο κρυπτογράφησης. Ωστόσο, και οι δύο εκδόσεις βασίζονται σε ένα cryptographic library που ονομάζεται LibTomCrypt.
Το Interlock παρακάμπτει σημαντικούς φακέλους συστήματος και συγκεκριμένες επεκτάσεις αρχείων για να αποφευχθεί η αστάθεια του συστήματος.
Δείτε επίσης: Ransomware επίθεση πλήττει το νοσοκομείο Bainbridge
Πώς συνδέονται τα Interlock και Rhysida Ransomware;
Η ανάλυση της Talos σημείωσε, επίσης, μια πιθανή σύνδεση μεταξύ των ομάδων ransomware Interlock και Rhysida, αναφέροντας κοινές τεχνικές επίθεσης, εργαλεία ακόμη και κώδικα. Και οι δύο ομάδες, για παράδειγμα, χρησιμοποιούν το εργαλείο AzCopy για να μεταφέρουν κλεμμένα δεδομένα σε απομακρυσμένο χώρο αποθήκευσης. Επίσης, μοιάζουν αρκετά τα σημειώματα λύτρων που αφήνουν στα θύματα.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Los Angeles: Η HACLA υπέστη παραβίαση – Υπεύθυνο το Cactus ransomware;
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: www.infosecurity-magazine.com