Здравоохранение, критически важная отрасль, становится все более уязвимой к кибератакам. В конце 2024 года на сцену вышла новая и чрезвычайно опасная группа рансомвера – Interlock, быстро заслужившая репутацию изощренных атак и использования тактики двойного вымогательства. Interlock не просто шифрует данные, но и угрожает их публикацией, ставя под угрозу конфиденциальность миллионов пациентов. Эта тенденция наглядно проявилась в недавнем инциденте с Change Healthcare, когда из-за атаки была скомпрометирована информация 190 миллионов американцев.
Методы Interlock крайне разнообразны. Группа использует drive-by компрометацию, осуществляя атаки через поддельные веб-сайты, имитирующие обновления программного обеспечения или легитимные ресурсы, такие как . Как только жертва посещает такой сайт, происходит загрузка вредоносного ПО. Последующие действия Interlock представляют собой классическую цепочку атаки, включающую в себя несколько этапов. После первоначального проникновения в систему, начинается этап исполнения (execution), когда активируются вредоносные программы. Далее, начинается процесс кражи учетных данных, используя специально разработанный инструмент "Stealer tool" – мощное ПО для сбора конфиденциальных данных. Эта программа была впервые обнаружена в августе 2024 года.
Крайне коварным приемом является использование легитимных инструментов удаленного администрирования. Interlock перенаправляет программы Putty, Anydesk и RDP, которые в нормальных условиях служат для управления системами, для своих злонамеренных целей. Таким образом, хакеры получают возможность полного доступа к скомпрометированной инфраструктуре. После того как злоумышленники обосновались в системе, начинается этап бокового перемещения (lateral movement), когда атака распространяется по всей сети, заражая все больше и больше компьютеров.
После консолидации доступа к системе, Interlock приступает к этапу кражи данных (data exfiltration). Похищенные данные пересылаются на контролируемые злоумышленниками серверы, используя порт 443. В качестве хранилища хакеры используют Azure. Перед отправкой украденные данные, такие как имя пользователя, электронная почта и пароль, сохраняются во временном файле с именем "chrgetpdsi.txt". По IP-адресу 217[.]148.142.19 часто пересылается похищенная информация.
В конце октября 2024 года Interlock проявил себя особенно активно, скомпрометировав несколько медицинских учреждений. Среди жертв оказались Brockton Neighborhood Health Center и Legacy Treatment Services. Также пострадала и служба лечения наркозависимости и алкоголизма, чьи данные были скомпрометированы.
Инструменты, разработанные Interlock, особенно изощренны. В условиях столь серьезных угроз, раннее выявление атак становится критически важным. Понимание цепочки атаки и использование аналитических инструментов помогают организациям оперативно реагировать на угрозы, минимизируя ущерб. Команды центров кибербезопасности (SOC) используют данные для разработки более эффективных стратегий защиты. Аналитики данных также занимаются выявлением индикаторов компрометации (IOC), которые в дальнейшем используются для быстрого обнаружения атак.
Изображение носит иллюстративный характер
Методы Interlock крайне разнообразны. Группа использует drive-by компрометацию, осуществляя атаки через поддельные веб-сайты, имитирующие обновления программного обеспечения или легитимные ресурсы, такие как . Как только жертва посещает такой сайт, происходит загрузка вредоносного ПО. Последующие действия Interlock представляют собой классическую цепочку атаки, включающую в себя несколько этапов. После первоначального проникновения в систему, начинается этап исполнения (execution), когда активируются вредоносные программы. Далее, начинается процесс кражи учетных данных, используя специально разработанный инструмент "Stealer tool" – мощное ПО для сбора конфиденциальных данных. Эта программа была впервые обнаружена в августе 2024 года.
Крайне коварным приемом является использование легитимных инструментов удаленного администрирования. Interlock перенаправляет программы Putty, Anydesk и RDP, которые в нормальных условиях служат для управления системами, для своих злонамеренных целей. Таким образом, хакеры получают возможность полного доступа к скомпрометированной инфраструктуре. После того как злоумышленники обосновались в системе, начинается этап бокового перемещения (lateral movement), когда атака распространяется по всей сети, заражая все больше и больше компьютеров.
После консолидации доступа к системе, Interlock приступает к этапу кражи данных (data exfiltration). Похищенные данные пересылаются на контролируемые злоумышленниками серверы, используя порт 443. В качестве хранилища хакеры используют Azure. Перед отправкой украденные данные, такие как имя пользователя, электронная почта и пароль, сохраняются во временном файле с именем "chrgetpdsi.txt". По IP-адресу 217[.]148.142.19 часто пересылается похищенная информация.
В конце октября 2024 года Interlock проявил себя особенно активно, скомпрометировав несколько медицинских учреждений. Среди жертв оказались Brockton Neighborhood Health Center и Legacy Treatment Services. Также пострадала и служба лечения наркозависимости и алкоголизма, чьи данные были скомпрометированы.
Инструменты, разработанные Interlock, особенно изощренны. В условиях столь серьезных угроз, раннее выявление атак становится критически важным. Понимание цепочки атаки и использование аналитических инструментов помогают организациям оперативно реагировать на угрозы, минимизируя ущерб. Команды центров кибербезопасности (SOC) используют данные для разработки более эффективных стратегий защиты. Аналитики данных также занимаются выявлением индикаторов компрометации (IOC), которые в дальнейшем используются для быстрого обнаружения атак.
