#StopRansomware:インターロック ノート

#StopRansomware:インターロック

Interlockランサムウェアは、2024年9月下旬に初めて確認され、北米とヨーロッパの企業および重要インフラを標的としています。この金銭目的のランサムウェアは、データの窃取後に暗号化を行うダブルエクストーションモデルを使用します。初期アクセスは、侵害されたウェブサイトからのドライブバイダウンロードや、特にClickFixテクニックを用いたソーシャルエンジニアリングなどの珍しい方法で達成されます。感染後、Interlockは偵察、認証情報窃取、ネットワーク内でのラテラルムーブメントのために様々なツールを使用します。ランサムウェアは主に仮想マシンを標的とし、.interlockまたは.1nt3rlock拡張子を持つファイルを暗号化します。身代金要求は当初表示されませんが、被害者からの連絡後にユニークなコードと.onion URLを通じて伝えられます。FBI、CISA、HHS、MS-ISACは、侵害の兆候(IoCs)および戦術、技術、手順(TTPs)を共有し、緩和策を支援するためにこの勧告を発表しています。この勧告では、Interlockに対する保護を強化するために、堅牢なエンドポイント検出・対応(EDR)ツールの導入を強調しています。InterlockとRhysidaランサムウェアの類似性も指摘されています。組織は、リスクを軽減するために提供されている緩和策の推奨事項に従うことが推奨されます。勧告は、攻撃者が使用したツールのリストを含む表で締めくくられています。