#StopRansomware : Verrouillage Note

#StopRansomware : Verrouillage

Le ransomware Interlock, apparu pour la première fois à la fin septembre 2024, cible les entreprises et les infrastructures critiques en Amérique du Nord et en Europe. Ce ransomware motivé par des gains financiers utilise un modèle d'extorsion double, chiffrant les données après exfiltration. L'accès initial est obtenu par des méthodes inhabituelles telles que des téléchargements par drive-by à partir de sites web compromis et de l'ingénierie sociale, en particulier la technique ClickFix. Après l'infection, Interlock utilise divers outils pour la reconnaissance, le vol d'informations d'identification et le mouvement latéral dans le réseau. Le ransomware cible principalement les machines virtuelles, chiffrant les fichiers avec des extensions .interlock ou .1nt3rlock. Les demandes de rançon ne sont pas initialement affichées, mais sont communiquées via un code unique et une URL .onion après contact avec les victimes. Le FBI, CISA, HHS et MS-ISAC publient cet avis pour partager des indicateurs de compromission et des tactiques, techniques et procédures pour aider aux efforts de mitigation. L'avis met en avant l'importance de mettre en œuvre des outils de détection et de réponse robustes pour les points de terminaison (EDR) pour se protéger contre Interlock. Des similarités entre Interlock et le ransomware Rhysida sont notées. Les organisations sont encouragées à suivre les recommandations de mitigation fournies pour réduire les risques. L'avis se conclut avec un tableau listant les outils utilisés par les acteurs.