هشدار CISA و FBI نسبت به افزایش حملات باج‌افزار Interlock

CISA و FBI روز سه‌شنبه نسبت به افزایش فعالیت‌های باج‌افزار Interlock که سازمان‌های تجاری و زیرساخت‌های حیاتی را در قالب حملات Double Extortion هدف قرار می‌دهد، هشدار دادند.

این هشدار با همکاری مشترک وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) و مرکز اشتراک‌گذاری و تحلیل اطلاعات چندایالتی (MS-ISAC) منتشر شده و شامل شاخص‌های نفوذ (IOCs) جمع‌آوری‌شده از تحقیقات روی حوادثی تا تاریخ ژوئن ۲۰۲۵، به همراه راهکارهای کاهش تهدید برای محافظت از شبکه‌ها در برابر حملات این گروه باج‌افزاری است.

Interlock یک عملیات نسبتاً جدید باج‌افزاری است که نخستین بار در سپتامبر ۲۰۲۴ ظاهر شد و از آن زمان تاکنون، قربانیانی را در صنایع مختلف در سراسر جهان هدف قرار داده است؛ با تمرکز ویژه بر بخش سلامت.

تهدیدگران مرتبط با این گروه پیش‌تر با حملات ClickFix نیز مرتبط شناخته شده‌اند که در آن‌ها با جعل ابزارهای IT برای دستیابی اولیه به شبکه استفاده می‌کردند. همچنین، در برخی حملات دیگر، بدافزاری به نام NodeSnake را در شبکه‌های دانشگاهی بریتانیا مستقر کرده‌اند.

در تازه‌ترین موارد، این گروه سایبری مسئولیت نفوذ به شرکت DaVita (یکی از شرکت‌های Fortune 500 در حوزه مراقبت از کلیه) را برعهده گرفته که منجر به سرقت و افشای ۱.۵ ترابایت داده از سامانه‌های این شرکت شد. همچنین، آن‌ها مسئول حمله به سازمان Kettering Health نیز معرفی شده‌اند؛ نهادی بزرگ در حوزه سلامت که بیش از ۱۲۰ مرکز درمانی سرپایی را مدیریت کرده و بیش از ۱۵٬۰۰۰ کارمند دارد.

در جریان بررسی‌های خود، FBI مشاهده کرده است که گروه باج‌افزاری Interlock از تاکتیک‌های غیرمعمولی برای اعمال فشار بر قربانیان در حملات Double Extortion استفاده می‌کند.

در متن هشدار آمده است:

«FBI مشاهده کرده که مهاجمان از طریق Drive-by Download از وب‌سایت‌های قانونی آلوده‌شده، دسترسی اولیه به سیستم‌ها را به دست می‌آورند؛ روشی که در میان گروه‌های باج‌افزاری کمتر رایج است.»

بازیگران گروه Interlock از یک مدل Double Extortion استفاده می‌کنند که در آن، پس از استخراج اطلاعات از سیستم‌ها، اقدام به رمزگذاری می‌کنند. این روند، فشار مضاعفی بر قربانی وارد می‌کند تا با پرداخت باج، هم داده‌های خود را بازیابی کند و هم از افشای آن‌ها جلوگیری نماید.

اوایل ماه جاری، مشاهده شد که این گروه از تکنیک جدیدی به نام FileFix نیز برای استقرار Remote Access Trojan (RAT) استفاده می‌کند.
FileFix یک حمله مهندسی اجتماعی است که در آن مهاجمان از عناصر رابط کاربری معتبر در ویندوز، از جمله Windows File Explorer و فایل‌های HTML Application (.HTA)، سوءاستفاده می‌کنند تا قربانی را فریب داده و کدهای مخرب PowerShell یا JavaScript را بدون نمایش هشدارهای امنیتی اجرا کنند.

توصیه‌های امنیتی برای مقابله با Interlock

برای محافظت از شبکه‌ها در برابر حملات این گروه باج‌افزاری، به تیم‌های امنیتی توصیه می‌شود:

• استفاده از DNS Filtering و Web Application Firewall
• آموزش کاربران برای تشخیص حملات مهندسی اجتماعی
• به‌روزرسانی منظم سیستم‌عامل، نرم‌افزارها و میان‌افزارها (Firmware)
• Segment کردن شبکه برای محدودسازی دسترسی از دستگاه‌های آلوده
• پیاده‌سازی سیاست‌های جامع در حوزه مدیریت هویت، اعتبارنامه‌ها و دسترسی‌ها (ICAM)
• استفاده از احراز هویت چندمرحله‌ای (MFA) برای تمام سرویس‌ها، در صورت امکان

این اقدامات می‌توانند تأثیر قابل‌توجهی در کاهش سطح حمله و جلوگیری از موفقیت عملیات‌های گروه‌هایی مانند Interlock داشته باشند.