A CISA e o FBI alertaram na terça-feira sobre o aumento da atividade de ransomware Interlock, visando empresas e organizações de infraestrutura crítica em ataques de extorsão dupla.
O comunicado de hoje foi redigido em conjunto com o Departamento de Saúde e Serviços Humanos (HHS) e o Centro Multi-Estatal de Compartilhamento de Informações e Análise (MS-ISAC) e oferece aos defensores de rede indicadores de comprometimento (IOCs) coletados durante as investigações de incidentes tão recentes quanto junho de 2025, juntamente com medidas de mitigação para proteger suas redes contra os ataques deste grupo de ransomware.
Interlock é uma operação de ransomware relativamente nova que surgiu em setembro de 2024 e, desde então, tem visado vítimas em todo o mundo em vários setores da indústria, com um foco particular no setor de saúde.
Os atores de ameaças também foram previamente vinculados a ataques ClickFix, onde eles se passam por ferramentas de TI para acesso inicial à rede, assim como ataques de malware nos quais eles implantaram um trojan de acesso remoto chamado NodeSnake nas redes de universidades do Reino Unido.
Recentemente, o grupo de cibercrime reivindicou a responsabilidade por invadir a DaVita, uma empresa da Fortune 500 especializada em cuidado renal, resultando no roubo e vazamento de 1,5 terabytes de dados de seus sistemas, bem como por hackear a Kettering Health, um gigante da área de saúde que opera mais de 120 instalações ambulatoriais e emprega mais de 15.000 pessoas.
Ao investigar seus ataques, o FBI observou o bando Interlock usando algumas táticas incomuns e pressionando suas vítimas em ataques de extorsão dupla.
"O FBI observou atores obtendo acesso inicial via download automatizado de sites legítimos comprometidos, o que é um método incomum entre os grupos de ransomware", lê-se no comunicado.
Os atores de Interlock empregam um modelo de extorsão dupla no qual os atores criptografam os sistemas após exfiltrar dados, o que aumenta a pressão sobre as vítimas para pagar o resgate tanto para obter seus dados descriptografados quanto para evitar que sejam vazados.
No início deste mês, o grupo de ransomware também foi observado adotando a nova técnica FileFix para soltar malware trojan de acesso remoto (RAT).
FileFix é um ataque de engenharia social no qual os atacantes armam elementos confiáveis da UI do Windows, incluindo o Explorador de Arquivos do Windows e Aplicações HTML (.HTA), para enganar seus alvos a executar código PowerShell ou JavaScript malicioso sem exibir quaisquer avisos de segurança.
Para defender suas redes contra ataques de ransomware Interlock, as equipes de segurança são aconselhadas a implementar filtragem do Sistema de Nomes de Domínio (DNS), firewalls de acesso à web e treinar usuários para reconhecer tentativas de engenharia social.
Os defensores também são instados a manter sistemas, software e firmware atualizados e segmentar redes para limitar o acesso a partir de dispositivos comprometidos.
Além disso, as organizações precisam estabelecer políticas de gestão de identidade, credenciais e acesso (ICAM) e exigir autenticação multifator (MFA) para todos os serviços quando possível.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...