#StopRansomware: 인터록 노트

#StopRansomware: 인터록

Interlock 랜섬웨어는 2024년 9월 말에 처음 발견되었으며, 북미와 유럽의 기업 및 중요 인프라를 표적으로 삼습니다. 금전적인 동기로 작동하는 이 랜섬웨어는 데이터 유출 후 암호화하는 이중 갈취 모델을 사용합니다. 초기 접근은 손상된 웹사이트에서의 드라이브 바이 다운로드 및 사회 공학 기법, 특히 ClickFix 기법과 같은 특이한 방법을 통해 이루어집니다. 감염 후 Interlock은 네트워크 내에서 정찰, 자격 증명 탈취 및 측면 이동을 위해 다양한 도구를 사용합니다. 이 랜섬웨어는 주로 가상 머신을 대상으로 하며, .interlock 또는 .1nt3rlock 확장자를 가진 파일을 암호화합니다. 초기에는 몸값 요구 금액이 표시되지 않지만, 피해자가 접촉한 후에 고유 코드와 .onion URL을 통해 전달됩니다. FBI, CISA, HHS 및 MS-ISAC는 이러한 권고문을 발표하여 침해 지표 및 전술, 기법, 절차를 공유하여 완화 노력에 도움을 주고자 합니다. 이 권고문은 Interlock으로부터 보호하기 위해 강력한 엔드포인트 탐지 및 대응(EDR) 도구를 구현하는 것을 강조합니다. Interlock과 Rhysida 랜섬웨어 간의 유사점이 언급되었습니다. 조직은 위험을 줄이기 위해 제공된 완화 권장 사항을 따르는 것이 좋습니다. 이 권고문은 공격자가 사용한 도구 목록을 포함하는 표로 마무리됩니다.