Заходят как свои — атакуют как враги: новый вымогатель маскируется под Windows.
Всего за год группировка Interlock успела атаковать десятки крупных компаний, включая больницы.
В США зафиксирована волна атак с использованием тактики двойного вымогательства, за которой стоит Interlock — молодая, но активно развивающаяся хакерская группа. Об этом сообщили CISA, ФБР, HHS и MS-ISAC в совместном предупреждении.
Interlock активна с сентября 2024 года и уже поразила организации в разных странах и отраслях, особенно сильно пострадал медицинский сектор. Одной из целей стала компания DaVita, входящая в Fortune 500 — злоумышленники заявили о краже 1,5 ТБ данных. Также атаке подверглась сеть Kettering Health, включающая более 120 медучреждений.
Группа использует нестандартные методы — от фишинга до “drive-by” атак через заражённые, но легитимные сайты. Их основная схема: сначала похищение данных, затем их шифрование с требованием двойного выкупа — за восстановление доступа и за неразглашение.
В июле эксперты зафиксировали новую тактику Interlock — FileFix, основанную на социальной инженерии. Жертву убеждают запустить вредонос через интерфейсы Windows (например, HTA-файлы), что позволяет получить удалённый доступ к системе без срабатывания защит.
Для защиты специалисты рекомендуют фильтрацию DNS, межсетевые экраны, обучение сотрудников основам кибергигиены, сегментацию сети, регулярные обновления и обязательную многофакторную аутентификацию.