Μια σχετικά νέα λειτουργία ransomware που ονομάζεται Interlock επιτίθεται σε οργανισμούς σε όλο τον κόσμο, ακολουθώντας την ασυνήθιστη προσέγγιση της δημιουργίας ενός κρυπτογραφητή για τη στόχευση διακομιστών FreeBSD.
Το Interlock, το οποίο ξεκίνησε στα τέλη Σεπτεμβρίου 2024, έχει από τότε αναλάβει επιθέσεις σε έξι οργανισμούς, δημοσιεύοντας κλεμμένα δεδομένα στον ιστότοπό τους για διαρροή δεδομένων αφού δεν καταβλήθηκαν λύτρα. Ένα από τα θύματα είναι η κομητεία Γουέιν του Μίσιγκαν, η οποία υπέστη κυβερνοεπίθεση στις αρχές Οκτωβρίου.
Δεν είναι γνωστά πολλά για τη λειτουργία ransomware, με μερικές από τις πρώτες πληροφορίες να προέρχονται από τον Simo που ανταποκρίθηκε περιστατικά στις αρχές Οκτωβρίου, που βρήκε μια νέα κερκόπορτα [VirusTotal] αναπτύχθηκε σε ένα περιστατικό ransomware Interlock.
Αμέσως μετά, ερευνητής κυβερνοασφάλειας Βρέθηκε το MalwareHuntTeam αυτό που πιστεύεται ότι ήταν ένας κρυπτογραφητής Linux ELF [VirusTotal] για τη λειτουργία Interlock. Μοιράζοντας το δείγμα με το BleepingComputer, προσπαθήσαμε να το δοκιμάσουμε σε μια εικονική μηχανή, όπου κατέρρευσε αμέσως.
Η εξέταση των συμβολοσειρών εντός του εκτελέσιμου αρχείου έδειξε ότι είχε μεταγλωττιστεί ειδικά για το FreeBSD, με την εντολή Linux “File” να επιβεβαιώνει περαιτέρω ότι είχε μεταγλωττιστεί στο FreeBSD 10.4.
interlock.elf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=c7f876806bf4d3ccafbf2252e77c2a7546c301e6, for FreeBSD 10.4, FreeBSD-style, not stripped
Ωστόσο, ακόμη και κατά τη δοκιμή του δείγματος σε μια εικονική μηχανή FreeBSD, το BleepingComputer δεν μπόρεσε να κάνει το δείγμα να εκτελεστεί σωστά.
Αν και είναι σύνηθες να βλέπουμε κρυπτογραφητές Linux που δημιουργούνται για να στοχεύουν διακομιστές και εικονικές μηχανές VMware ESXi, είναι σπάνιο να δούμε κρυπτογραφητές που έχουν δημιουργηθεί για το FreeBSD. Η μόνη άλλη λειτουργία ransomware που είναι γνωστό ότι δημιούργησε κρυπτογραφητές FreeBSD είναι η πλέον ανενεργή λειτουργία ransomware Hive, η οποία διακόπηκε από το FBI το 2023.
Αυτή την εβδομάδα, ερευνητές από την εταιρεία κυβερνοασφάλειας Trend Micro μοιράστηκαν στο X ότι βρήκαν ένα επιπλέον δείγμα του κρυπτογραφητή FreeBSD ELF [VirusTotal] και ένα δείγμα του κρυπτογράφησης των Windows της λειτουργίας [VirusTotal].
Η Trend Micro είπε περαιτέρω ότι οι παράγοντες απειλών πιθανότατα δημιούργησαν έναν κρυπτογραφητή FreeBSD καθώς το λειτουργικό σύστημα χρησιμοποιείται συνήθως σε υποδομές ζωτικής σημασίας, όπου οι επιθέσεις μπορούν να προκαλέσουν εκτεταμένη διακοπή.
“Το Interlock στοχεύει το FreeBSD καθώς χρησιμοποιείται ευρέως σε διακομιστές και κρίσιμες υποδομές. Οι επιτιθέμενοι μπορούν να διαταράξουν ζωτικές υπηρεσίες, να απαιτήσουν τεράστια λύτρα και να εξαναγκάσουν τα θύματα να πληρώσουν”, εξηγεί η Trend Micro.
Είναι αυτονόητο ότι η λειτουργία ransomware Interlock δεν συνδέεται με το διακριτικό κρυπτονομίσματος με το ίδιο όνομα.
Το ransomware Interlock
Ενώ το BleepingComputer δεν μπορούσε να λειτουργήσει τον κρυπτογραφητή FreeBSD, η έκδοση των Windows εκτελέστηκε χωρίς πρόβλημα στην εικονική μας μηχανή.
Σύμφωνα με το Trend Micro, ο κρυπτογραφητής των Windows θα διαγράψει τα αρχεία καταγραφής συμβάντων των Windows και, εάν είναι ενεργοποιημένη η αυτοδιαγραφή, θα χρησιμοποιήσει ένα DLL για να διαγράψει το κύριο δυαδικό αρχείο χρησιμοποιώντας το rundll32.exe.
Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει το .αλληλοσυνδέομαι επέκταση σε όλα τα κρυπτογραφημένα ονόματα αρχείων και δημιουργήστε μια σημείωση λύτρων σε κάθε φάκελο.
Πηγή: BleepingComputer
Αυτό το σημείωμα λύτρων ονομάζεται !__README__!.txt και περιγράφει εν συντομία τι συνέβη στα αρχεία του θύματος, κάνει απειλές και συνδέει με τους ιστότοπους διαπραγμάτευσης και διαρροής δεδομένων Tor.
Πηγή: BleepingComputer
Κάθε θύμα έχει ένα μοναδικό “Company ID” που χρησιμοποιείται μαζί με μια διεύθυνση email για εγγραφή στον ιστότοπο διαπραγμάτευσης Tor του ηθοποιού απειλής. Όπως πολλές άλλες πρόσφατες λειτουργίες ransomware, ο ιστότοπος διαπραγμάτευσης που αντιμετωπίζει το θύμα περιλαμβάνει απλώς ένα σύστημα συνομιλίας που μπορεί να χρησιμοποιηθεί για την επικοινωνία με τους παράγοντες της απειλής.
Πηγή: BleepingComputer
Κατά τη διεξαγωγή επιθέσεων, το Interlock θα παραβιάσει ένα εταιρικό δίκτυο και θα κλέψει δεδομένα από τους διακομιστές ενώ θα εξαπλωθεί πλευρικά σε άλλες συσκευές. Όταν τελειώσουν, οι φορείς απειλών αναπτύσσουν το ransomware για να κρυπτογραφήσουν όλα τα αρχεία στο δίκτυο.
Τα κλεμμένα δεδομένα χρησιμοποιούνται ως μέρος μιας επίθεσης διπλού εκβιασμού, όπου οι παράγοντες της απειλής απειλούν να τα διαρρεύσουν δημόσια εάν δεν καταβληθούν λύτρα.
Πηγή: BleepingComputer
Η BleepingComputer έμαθε ότι η λειτουργία ransomware απαιτεί λύτρα που κυμαίνονται από εκατοντάδες χιλιάδες δολάρια έως εκατομμύρια, ανάλογα με το μέγεθος του οργανισμού.
VIA: bleepingcomputer.com
