🔐 2025. július 24-én az FBI, a CISA, az Egészségügyi Minisztérium (HHS) és az MS-ISAC közösen kiadták a legfrissebb kiberbiztonsági figyelmeztetést az Interlock ransomware fenyegetéséről, amely Windows és Linux alapú virtuális gépeket céloz meg, különösen kritikus infrastruktúrákat és vállalatokat Észak-Amerikában és Európában.
📌 Összefoglaló: Mi az az Interlock ransomware?
- Először 2024 szeptemberében észlelték
- Célpontjai: vállalkozások, kórházak, VM infrastruktúrák
- Célrendszerek: Windows és Linux, beleértve a FreeBSD-t
- Dupla zsarolásos modell: titkosítással és adatlopással nyomást gyakorolnak
- Álcázott behatolási módszerek: hamis böngészőfrissítések, álcázott PowerShell szkriptek, „ClickFix” támadás
⚙️ Behatolási technikák
Az FBI az alábbi módszereket azonosította az Interlock ransomware terjedésében:
| Technika | Leírás |
|---|---|
| Drive-by letöltések | Fertőzött weboldalakon keresztül |
| Hamis frissítések | Chrome, Edge, sőt biztonsági szoftverek álfrissítései |
| ClickFix | Social engineering, ahol a felhasználót egy CAPTCHA hamisító Base64-PowerShell szkript futtatására veszik rá |
🧠 Műveletek a rendszerben
| Művelet | Eszköz / módszer |
|---|---|
| Távoli elérés | PowerShell-alapú RAT, Registry manipuláció |
| C2 kommunikáció | Cobalt Strike, SystemBC, Interlock RAT, NodeSnake |
| Hitelesítő adatok ellopása | Lumma Stealer, Berserk Stealer, keyloggerek |
| Oldalirányú mozgás | RDP, AnyDesk, PuTTY |
| Jogosultságemelés | Kerberoasting, domain admin fiókok célzása |
📤 Adatlopás és titkosítás
Az Interlock ransomware az alábbi eszközöket használja adatlopásra:
- Azure Storage Explorer – Azure tárolók böngészésére
- AzCopy – exfiltráció blob storage irányába
- WinSCP – alternatív fájlátvitel
Ezt követően egy titkosító program kerül telepítésre:
- Windows: conhost.exe (64-bites)
- Linux: ELF alapú payload önmegsemmisítő removeme funkcióval
- A fájlokat .interlock vagy .1nt3rlock kiterjesztés jelöli
- Ransom note: !__README__!.txt – GPO-n keresztül telepítve
💸 Zsarolóüzenet és fizetés
| Tulajdonság | Részletek |
|---|---|
| Kapcsolatfelvétel | .onion weboldalon, Tor böngészőn keresztül |
| Fizetési mód | Bitcoin |
| Fenyegetés | Ha nem fizetnek, az ellopott adatokat nyilvánosságra hozzák |
| Azonosító | Minden áldozat egyedi ID-t kap |
| FBI megerősítés | A fenyegetéseket valóban végrehajtották |
🛡️ FBI & CISA javasolt védelmi lépései
✅ 1. Belépési pontok védelme
- DNS szűrés használata
- Webes tűzfalak (WAF) bevezetése
- Dolgozók social engineering képzése
✅ 2. Hibák javítása
- Operációs rendszerek, alkalmazások, firmware-ek rendszeres frissítése
✅ 3. Hálózati szegmentáció
- Korlátozza a laterális mozgást, pl. egyik VM ne tudjon másikra átterjedni
✅ 4. Jogosultságkezelés
- Többfaktoros hitelesítés (MFA)
- Erős jelszószabályzatok
