Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Ukryte oprogramowanie na nowym sprzęcie - jak się go pozbyć?
Ukryte oprogramowanie na nowym sprzęcie - jak się go pozbyć?

Użytkownikom laptopów czy smartfonów zdarza się zauważyć, że po uruchomieniu nowego sprzętu od innego producenta pojawiają się na nim aplikacje, których nie było na poprzednim. Dzieje się tak mimo tego, że urządzenia pracują na tym samym systemie operacyjnym. Większość producentów preinstalu...

Czytaj więcej...

12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać
12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać

Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...

Czytaj więcej...

Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej
Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej

Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...

Czytaj więcej...

FRITZ!Smart Gateway - Twoja brama do inteligentnego domu
FRITZ!Smart Gateway - Twoja brama do inteligentnego domu

Dzięki uprzejmości firmy AVM w nasze ręce trafiło kolejne urządzenie marki FRITZ! Tym razem po raz pierwszy mieliśmy okazję przetestować produkt z ekosystemu FRITZ! Smart Home - bramkę FRITZ!Smart Gateway, wprowadzoną na rynek polski w marcu bieżącego roku. Urządzenie rozszerza ekosystem inteligentnego domu od AVM o ob...

Czytaj więcej...

VMware Tanzu Platform 10
VMware Tanzu Platform 10

Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...

Czytaj więcej...

Dlaczego warto wybrać Endpoint Central do zarządzania przedsiębiorstwem?
Dlaczego warto wybrać Endpoint Central do zarządzania przedsiębiorstwem?

Stworzony w 2005 roku, Endpoint Central (wcześniej znany jako Desktop Central) miał na celu zrewolucjonizowanie sposobu, w jaki firmy zarządzają swoim IT. Przez prawie dwie dekady rozwijał się wraz z dynamicznie zmieniającymi się potrzebami nowoczesnych przedsiębiorstw. Jest dowodem na siłę nieustannej innowacji, oferu...

Czytaj więcej...

Aktualności

Interlock: nowa fala cyberataków na korporacje

RansomwareW świecie cyfrowym ransomware pozostaje jednym z najpoważniejszych i najbardziej kosztownych zagrożeń, które nieustannie ewoluuje, stanowiąc wyzwanie zarówno dla organizacji, jak i specjalistów ds. cyberbezpieczeństwa. Wciąż mamy do czynienia z nowymi wariantami tego złośliwego oprogramowania wykorzystującego coraz bardziej zaawansowane techniki, aby przechytrzyć istniejące zabezpieczenia i maksymalizować szkody. W ostatnim czasie uwagę zespołu badawczego Cisco Talos przyciągnął ransomware Interlock - stosunkowo nowy gracz na scenie cyberzagrożeń, który wyróżnia się wysokim poziomem zaawansowania technicznego oraz unikalnym podejściem do prowadzenia ataków.

Czym jest Interlock?
Interlock nie tylko skutecznie szyfruje dane ofiar, ale również realizuje strategię podwójnego wymuszenia (double extortion), polegającą na równoczesnym szyfrowaniu plików i grożeniu ujawnieniem wykradzionych danych. Ataki tego rodzaju koncentrują się przede wszystkim na dużych organizacjach, co wpisuje się w taktykę tzw. „big-game hunting” - ataków na największe cele, których złożona infrastruktura i krytyczne dane stają się łakomym kąskiem dla cyberprzestępców. Dzięki zastosowaniu zaawansowanych narzędzi, Interlock skutecznie infiltruje sieci ofiar i eskaluje swoje uprawnienia.

Pierwszą aktywność tego ransomware zaobserwowano we wrześniu 2024 roku, kiedy to przeprowadzono serię ataków na organizacje z sektora zdrowia, technologii, produkcji oraz instytucje rządowe w Stanach Zjednoczonych. Interlock atakował infrastrukturę organizacji, wykorzystując niezałatane luki w zabezpieczeniach. Według danych udostępnionych na blogu Interlock, ich działania są częściowo motywowane chęcią pociągnięcia firm do odpowiedzialności za słabe cyberbezpieczeństwo, a także zyskiem finansowym.

Jak działa?
Badania Cisco Talos ujawniają szczegóły ataków, które trwają średnio około 17 dni od pierwszego naruszenia do wdrożenia ransomware Interlock. Początkowy dostęp do systemu uzyskiwany był poprzez fałszywy plik instalatora przeglądarki Google Chrome, który uruchamiał złośliwe oprogramowanie typu RAT (Remote Access Trojan). Po uruchomieniu, złośliwy plik instalował skrypt PowerShell, który zapewniał trwały dostęp do systemu, umożliwiając dalsze działania.

Zidentyfikowano również złodzieja poświadczeń, który został napisany w języku Golang. Jak podaje Cisco Talos działał on poprzez kopiowanie danych logowania przechowywanych w przeglądarkach ofiary i zapisywał je w pliku. Z kolei keylogger rejestrował naciśnięcia klawiszy. Dodatkowo, atakujący wykorzystywali technikę kerberoasting, aby zdobyć poświadczenia o wyższych uprawnieniach.

W trakcie ataku, Interlock uruchamiał narzędzia takie jak Azure Storage Explorer i AzCopy, które pozwalają na przesyłanie danych do chmury Azure, kontrolowanej przez napastnika. Interlock wykorzystuje technologię ransomware do szyfrowania plików ofiar, nadając im rozszerzenie „.Interlock” oraz umieszczając plik z żądaniem okupu w każdym zaszyfrowanym folderze. Próba wymuszenia zawierała instrukcje, grożące ujawnieniem danych ofiary, jeśli nie zostanie dokonana zapłata w ciągu 96 godzin.

Interlock i Rhysida
Według jednej z hipotez Cisco Talos, wysnutej na podstawie zauważalnych podobieństw w metodach TTP, narzędziach i zachowaniach plików binarnych i szyfrujących, ransomware Interlock mógł ewoluować z ransomware Rhysida.

W trakcie analizy zauważono nakładające się fragmenty kodu w plikach binarnych ransomware Interlock i Rhysida. Dodatkowo, lista wykluczeń plików i folderów zakodowana w wariancie ransomware Interlock dla systemu Windows wykazuje podobieństwa do tej, która została wcześniej zaobserwowana w ransomware Rhysida. Informacje o Rhysida zostały przedstawione przez Cisco Talos w ostrzeżeniu o zagrożeniach z sierpnia 2023 roku.

Interlock demonstruje wysoki poziom zaawansowania technicznego, stosując złożone metody ataku, od początkowego naruszenia, po skuteczne szyfrowanie plików i żądanie okupu. Przykład tej kampanii podkreśla rosnące zagrożenie, jakie stanowią wyspecjalizowane grupy ransomware, których celem są duże organizacje.

Źródło: Cisco

Logowanie i rejestracja