حملات مخفی باج‌افزار اینترلاک به بخش درمان

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این هشدار به‌عنوان بخشی از کمپین #StopRansomware منتشر شده و تأکید دارد که این باج‌افزار به‌سرعت در حال تکامل است و به‌ویژه بخش‌های حساس مانند مراقبت‌های بهداشتی را هدف قرار داده است.

اینترلاک (Interlock) از سپتامبر ۲۰۲۴ فعالیت خود را آغاز کرده و از مدل دوگانه اخاذی استفاده می‌کند: هم اطلاعات قربانی را رمزگذاری می‌کند و هم با سرقت داده‌ها تهدید می‌کند که در صورت عدم پرداخت باج، آنها را منتشر خواهد کرد.

برخلاف دیگر باج‌افزارها، اینترلاک در یادداشت اولیه خود مبلغ باج را اعلام نمی‌کند.

قربانیان باید با استفاده از یک کد مخصوص وارد دارک وب شوند و از طریق آن وارد مذاکره شوند.

اگرچه اینترلاک هدف مشخصی از نظر صنعتی ندارد، اما سازمان‌های درمانی از قربانیان پرتکرار آن بوده‌اند.

از جمله می‌توان به سیستم درمانی کترینگ هلث (Kettering Health) و شرکت بزرگ داویتا (DaVita) اشاره کرد.

روش‌های نفوذ اینترلاک غیرمعمول توصیف شده‌اند.

این گروه از دانلودهای مخفیانه از سایت‌های آلوده اما قانونی برای انتشار بدافزار استفاده می‌کند، آن هم اغلب در قالب به‌روزرسانی جعلی مرورگرهای کروم یا اج.

همچنین از مهندسی اجتماعی بهره می‌برد؛ مثلاً از طریق ابزار جعلی «ClickFix» یا «FileFix» که کاربران را به نصب بدافزار ترغیب می‌کند.

پس از نفوذ، ابزارهایی مانند اینترلاک رت (Interlock RAT) و نودسنیک رت (NodeSnake RAT) برای کنترل سیستم و اجرای دستورات استفاده می‌شوند.

اسکریپت‌های پاورشل (PowerShell) نیز برای بارگیری ابزارهای سرقت اعتبارنامه (مانند cht.exe وklg.dll ) به کار می‌روند، که اطلاعاتی مثل نام کاربری، رمز عبور و کلیدهای فشرده‌شده را ثبت می‌کنند.

این اطلاعات برای حرکت در شبکه و افزایش سطح دسترسی استفاده می‌شود.

برای استخراج داده‌ها از فضای ابری، اینترلاک از ابزارهای قانونی مانند Azure Storage Explorer و AzCopy بهره می‌برد.

در سیستم‌های لینوکس نیز از رمزگذار نادری بر پایه FreeBSD استفاده می‌کند.

برای محافظت از سازمان‌ها در برابر این تهدید، آژانس‌های فدرال توصیه‌هایی از جمله فیلتر دی ان اس (DNS)، استفاده از دیواره آتش (WAF)، احراز هویت چندعاملی، تقسیم‌بندی شبکه، آموزش کارکنان و تهیه پشتیبان آفلاین داده‌ها ارائه کرده‌اند.