#StopRansomware: Verriegelung Notiz

#StopRansomware: Verriegelung

Die Interlock-Ransomware, die erstmals Ende September 2024 aufgetreten ist, richtet sich gegen Unternehmen und kritische Infrastrukturen in Nordamerika und Europa. Diese finanziell motivierte Ransomware verwendet ein Doppel-Extorsions-Modell, indem sie Daten nach der Exfiltration verschlüsselt. Der initiale Zugriff wird durch ungewöhnliche Methoden wie Drive-by-Downloads von kompromittierten Websites und Sozialengineering, insbesondere die ClickFix-Technik, erreicht. Nach der Infektion verwendet Interlock verschiedene Tools für die Aufklärung, das Diebstahl von Anmeldedaten und die laterale Bewegung innerhalb des Netzwerks. Die Ransomware richtet sich primär gegen virtuelle Maschinen und verschlüsselt Dateien mit .interlock- oder .1nt3rlock-Erweiterungen. Die Lösegeldforderungen werden nicht initial angezeigt, sondern werden über einen eindeutigen Code und eine .onion-URL nach Kontakt mit den Opfern kommuniziert. Das FBI, CISA, HHS und MS-ISAC veröffentlichen diese Beratung, um Indikatoren für Kompromittierungen und Taktiken, Techniken und Verfahren zur Unterstützung bei den Minderungsanstrengungen zu teilen. Die Beratung betont die Implementierung robuster Endpoint-Detection- und -Response-Tools (EDR) zum Schutz vor Interlock. Ähnlichkeiten zwischen Interlock und Rhysida-Ransomware werden festgestellt. Organisationen werden ermutigt, den bereitgestellten Minderungsempfehlungen zu folgen, um das Risiko zu reduzieren. Die Beratung schließt mit einer Tabelle ab, die die von den Akteuren verwendeten Tools auflistet.