FBI i CISA ostrzegają przed oprogramowaniem typu Interlock Ransomware atakującym infrastrukturę krytyczną

Federalne Biuro Śledcze (FBI), Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), Departament Zdrowia i Opieki Społecznej (HHS) oraz Wielostanowe Centrum Analiz i Udostępniania Informacji (MS-ISAC) wydało ostrzeżenie w związku ze wzmożoną aktywnością grupy cyberprzestępców o nazwie Interlock ransomware .

Te motywowane finansowo groźby skierowane są przeciwko szerokiemu spektrum organizacji, w tym przedsiębiorstwom i podmiotom zarządzającym krytyczną infrastrukturą w Ameryce Północnej i Europie. Wykorzystują niebezpieczny model podwójnego wymuszenia w celu wywarcia jak największej presji na ofiary.

Oprogramowanie ransomware Interlock zostało po raz pierwszy wykryte pod koniec września 2024 roku, a śledztwa FBI przeprowadzone jeszcze w czerwcu 2025 roku ujawniły ewolucję jego taktyki . Grupa opracowuje programy szyfrujące dla systemów operacyjnych Windows i Linux, ze szczególnym naciskiem na szyfrowanie maszyn wirtualnych (VM). Raporty open source sugerują również podobieństwa między oprogramowaniem Interlock a wariantem ransomware Rhysida .

Grupa ta wyróżnia się technikami dostępu początkowego, które różnią się od technik wielu grup ransomware. Jedna z zaobserwowanych metod polega na pobieraniu plików „drive-by download” z legalnych, ale zainfekowanych stron internetowych, gdzie złośliwe oprogramowanie jest maskowane jako fałszywe aktualizacje popularnych przeglądarek internetowych, takich jak Google Chrome czy Microsoft Edge, a nawet popularnych narzędzi bezpieczeństwa, takich jak FortiClient czy Cisco-Secure-Client.

Co więcej, stosują sztuczkę socjotechniczną o nazwie ClickFix. Polega ona na tym, że użytkownicy są oszukiwani i uruchamiają szkodliwe pliki, klikając fałszywe testy CAPTCHA, które instruują ich, aby wkleili i wykonali złośliwe polecenia w oknie uruchamiania systemu.

Po wniknięciu do sieci ransomware wdraża powłoki webowe i narzędzia takie jak Cobalt Strike , aby przejąć kontrolę, przemieszczać się między systemami i kraść poufne informacje. Gromadzą dane logowania, w tym nazwy użytkowników i hasła, a nawet używają keyloggerów do rejestrowania naciśnięć klawiszy.

Zgodnie z ostrzeżeniem (PDF), po kradzieży danych, Interlock szyfruje systemy, dodając do plików rozszerzenia .interlock lub .1nt3rlock . Następnie żądają okupu bez podania kwoty początkowej w nocie, instruując ofiary, aby skontaktowały się z nimi za pośrednictwem specjalnej strony internetowej .onion w przeglądarce Tor . Grupa grozi ujawnieniem wykradzionych danych, jeśli okup, zazwyczaj płacony w Bitcoinach, nie zostanie spełniony – groźba ta jest konsekwentnie realizowana.

Aby przeciwdziałać zagrożeniu ze strony Interlock, agencje federalne wzywają organizacje do natychmiastowego wdrożenia środków bezpieczeństwa. Kluczowe środki obrony obejmują:

• Zapobieganie początkowemu dostępowi poprzez stosowanie filtrowania DNS i zapór sieciowych oraz szkolenie pracowników w zakresie wykrywania prób socjotechniki.

• Wdrażanie poprawek i aktualizacji w celu zapewnienia, że wszystkie systemy operacyjne, oprogramowanie i oprogramowanie sprzętowe są aktualne, przy czym priorytetowo traktowane są znane luki w zabezpieczeniach.

• Wdrożenie silnego uwierzytelniania, np. uwierzytelniania wieloskładnikowego (MFA) dla wszystkich usług, gdzie jest to możliwe, wraz z silniejszymi zasadami zarządzania tożsamością i dostępem.

• Kontrola sieci poprzez segmentację sieci w celu ograniczenia zasięgu rozprzestrzeniania się oprogramowania ransomware.

• Tworzenie kopii zapasowych i odzyskiwanie danych poprzez utrzymywanie wielu niezmiennych (niezmiennych) kopii zapasowych wszystkich krytycznych danych w trybie offline.

Ponadto bezpłatne zasoby są dostępne w ramach trwającej inicjatywy #StopRansomware .