СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#ИБ#Инфра#Облака

Interlock: Новая угроза в мире программ-вымогателей

Interlock: Новая угроза в мире программ-вымогателей

Программа-вымогатель Interlock, впервые обнаруженная в сентябре 2024 года, продолжает набирать популярность в киберпреступном мире. По состоянию на март 2025 года она все еще не классифицирована как «Программа-вымогатель как услуга» и не занимается привлечением аффилированных лиц. Своими действиями группа привлекает внимание благодаря особой стратегии, нацеленной на крупные организации.

Механика атаки

Процесс атаки осуществляется через компрометацию законных веб-сайтов, на которых размещаются вредоносные поддельные обновления браузера, особенно маскирующиеся под установщики программного обеспечения, например, Google Chrome и MS Edge. Как только устанавливается вредоносный софт, он запускает бэкдор PowerShell, который работает в постоянном цикле, собирая информацию системы и устанавливая связь с сервером управления (C2) для получения дальнейших команд.

Технологические новшества

Группа, управляющая Interlock, успешно внедряет новые технологии, такие как ClickFix, что позволяет пользователям самостоятельно выполнять вредоносные команды под предлогом легитимных запросов. В дополнение к бэкдору PowerShell, используются такие вредоносные программы, как LummaStealer и BerserkStealer для кражи учетных данных.

Функциональные возможности

Версия программы-вымогателя может функционировать как в Windows, так и в Linux. Шифрование осуществляется с использованием AES CBC, что делает его сильным инструментом для злоумышленников. Хакеры используют запланированные задачи и жестко заданные IP-адреса для обеспечения сохранности и избегания обнаружения.

Методы доступа и утечки данных

Ключевые команды в троянской программе удаленного доступа (RAT) Interlock позволяют собирать и передавать конфиденциальную системную информацию злоумышленникам, обеспечивая при этом разные формы удаленного управления. Злоумышленники активно используют протокол удаленного рабочего стола (RDP) и украденные учетные данные для перемещения по сетям, с целью компрометации контроллеров домена и дальнейшего распространения полезной нагрузки программы-вымогателя.

Тактики давления

Методичный подход к утечке данных включает загрузку конфиденциальной информации в хранилище Azure, контролируемое злоумышленниками, перед ее распространением в доменах TOR. В примечаниях о требовании выкупа подчеркиваются возможные юридические последствия для жертв, если они не подчинятся, что демонстрирует продуманную тактику давления.

Эволюция и значение Interlock

Продолжающаяся эволюция и адаптивность Interlock подчеркивают его растущее значение в хакерской среде, что требует тщательного мониторинга. Актуальность этого программного обеспечения также указывает на необходимость дальнейшего изучения и повысения кибербезопасности среди потенциальных жертв.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: