Un nouvel avis conjoint du FBI, du HHS et de la CISA révèle comment la manipulation psychologique de Interlock et des vecteurs d’entrée rares comme les téléchargements d’entraînement et les fausses correctifs de système rehapent les stratégies de défense des ransomwares dans les secteurs.
Le FBI, CISA, Département de la santé et des services sociaux (HHS) et le centre multi-états de partage et d’analyse d’information (MS-ISAC) ont émis un avertissement conjoint de conseil en cybersécurité d’une menace émergente des ransomwares de l’erloque, d’un groupe qui utilise des tactiques à double extorsion pour cibler les entreprises et des organisations d’infrastructure critiques à travers les États-Unis.
La variante de ransomware de verrouillage a été identifiée pour la première fois en septembre 2024. Ses cryptateurs sont conçus pour les systèmes d’exploitation Windows et Linux. Selon l’avis, les cas observés d’attaquants cryptent des machines virtuelles (VM) sur les deux plates-formes.
Interlock utilise des points d’entrée rares
Contrairement à de nombreuses opérations de ransomwares qui reposent sur le protocole de bureau à distance (RDP), les enquêtes du FBI exposées, les enquêtes ont noté que les acteurs interlocalisés déploient une technique relativement rare en exploitant des téléchargements de lecteur à partir de sites Web légitimes compromis.
Ils ont également utilisé Clickfix, une méthode d’ingénierie sociale qui incite les victimes à gérer une charge utile malveillante sous la prétention de résoudre un problème système. Une fois à l’intérieur, les acteurs déploient ensuite diverses méthodes de découverte, d’accès aux informations d’identification et de mouvement latéral pour se propager à d’autres systèmes du réseau.
Les acteurs interlock utilisent un modèle à double extorsion dans lequel les acteurs cryptent les systèmes après avoir exfiltrant les données, augmentant la pression sur les victimes pour payer la rançon pour les deux se faire déchiffrer leurs données et l’empêcher d’être divulguée, a déclaré l’avis. De plus, la demande de rançon ou les instructions de paiement ne sont pas incluses dans les billets de rançon. Au lieu de cela, les victimes reçoivent un code unique et sont invités à contacter le groupe Ransomware via une URL .onion via le navigateur Tor, a noté l’avis.
«Ce qui rend Interlock uniquement dangereux, ce n’est pas la nouveauté technique de sa charge utile de chiffrement, mais son orchestration des angles morts psychologiques et procéduraux à travers l’entreprise. Ce groupe a une familiarité armée en utilisant des éléments d’interface utilisateur de confiance comme la barre d’adresse de Windows Explorer pour exécuter des analystes en chef et un CEO de la recherche de Sanchit Virgia, de la GRYHound. «Ils exploitent les cycles de patch, les habitudes utilisateur et la sainteté supposée de l’hygiène numérique. Les protocoles de défense peuvent faire du vélo. »
Secteurs cibles et portée mondiale
L’avis n’a pas divulgué les noms des organisations ciblées, mais a noté que les infrastructures critiques et d’autres organisations en Amérique du Nord et en Europe ont été ciblées dans le passé.
«Les soins de santé ont été une cible principale, avec des incidents impliquant Davita et Kettering Health. L’éducation, la technologie, la fabrication et le gouvernement ont également été touchées», a déclaré Amit Jaju, directeur général principal chez Ankura Consulting. «À l’avenir, les infrastructures critiques, en particulier l’énergie et les transports, ainsi que les services financiers, sont vulnérables en raison des dépendances de virtualisation.»
Les défenses en couches sont essentielles à l’atténuation
Alors que les acteurs interlock ont attaqué et chiffré les machines virtuelles jusqu’à présent, les hôtes, les postes de travail et les serveurs physiques peuvent être ciblés à l’avenir. Pour atténuer ces risques, des capacités robustes de détection et de réponse (EDR) devraient être déployées, parallèlement aux efforts de durcissement de sécurité plus larges.
Les étapes clés comprennent la mise en œuvre du filtrage DNS, des pare-feu d’accès Web et la formation des utilisateurs pour détecter les tentatives d’ingénierie sociale telles que ClickFix. Les organisations doivent également corriger les vulnérabilités connues entre les systèmes d’exploitation, le micrologiciel et les applications et les réseaux de segments pour contenir des mouvements latéraux après un compromis initial.
Les équipes de sécurité sont également invités à appliquer des politiques solides d’identité, d’identification et de gestion de l’accès (ICAM), y compris l’authentification multi-facteurs (MFA) sur tous les services là où cela est possible.
«Pour renforcer les défenses contre les menaces comme le verrouillage, les entreprises devraient aller au-delà des avis standard en adoptant des stratégies en couches. «Les organisations doivent également restreindre les droits d’exécution des utilisateurs en limitant l’accès aux boîtes de dialogue système et à l’exécution des scripts.
Les entreprises devraient également garder des sauvegardes immuables hors ligne pour éviter la dépendance à la rançon.
