Interlock と名付けられた比較的新しいランサムウェアは、FreeBSD サーバを標的にする暗号化ツールを作成するという珍しいアプローチで、世界中の組織を攻撃している。
2024 年 9 月末に開始された Interlock は、その後 6 つの組織を攻撃し、身代金が支払われなかった後、 盗まれたデータを彼らのデータ漏洩サイトで公開したと主張しています。被害者の1人はミシガン州ウェイン郡で、10月初めにサイバー攻撃を受けた。
このランサムウェアの作戦についてはあまり知られておらず、10月初旬にインシデントレスポンダーのSimoがInterlockランサムウェアのインシデントで展開された新しいバックドア[VirusTotal]を発見したことが最初の情報の一部となっている。
その直後、サイバーセキュリティ研究者のMalwareHuntTeamが、Interlock の Linux ELF 暗号化プログラム[VirusTotal] と思われるものを発見しました。とサンプルを共有し、仮想マシン上でテストを試みたところ、即座にクラッシュしました。
実行ファイル内の文字列を調べると、FreeBSD 用に特別にコンパイルされたものであることがわかり、Linux の “File” コマンドでさらに FreeBSD 10.4 でコンパイルされたことが確認できました。
interlock.elf:ELF 64-bit LSB 実行ファイル、x86-64、バージョン 1 (SYSV)、静的にリンク、BuildID[sha1]=c7f876806bf4d3ccafbf2252e77c2a7546c301e6、FreeBSD 10.4 用、FreeBSD スタイル、ストリップなし
しかし、FreeBSD仮想マシン上でサンプルをテストしても、サンプルを正しく実行させることはできませんでした。
VMware ESXi サーバや仮想マシンをターゲットとして作成された Linux の暗号化プログラムはよく見かけるが、FreeBSD 用に作成されたものは珍しい。FreeBSD の暗号化ツールを作成したことが知られている他のランサムウェアは、2023 年に FBI によって妨害された、今は亡き Hive ランサムウェアだけです。
今週、サイバーセキュリティ企業 Trend Micro の研究者は、FreeBSD の ELF 暗号化ソフトの追加サンプル[VirusTotal] と、この作戦の Windows 暗号化ソフトのサンプル[VirusTotal] を発見したことを X 上で発表しました。
トレンドマイクロはさらに、脅威の主体が FreeBSD の暗号化ツールを作成した可能性が高いのは、このオペレーティングシステムが重要なインフラストラクチャで一般的に使用されており、攻撃が広範な混乱を引き起こす可能性があるからだと述べています。
「Interlock は、サーバや重要なインフラストラクチャで広く利用されている FreeBSD を標的としています。攻撃者は、重要なサービスを妨害し、高額な身代金を要求し、被害者に支払いを強要することができます」とトレンドマイクロは説明しています。
Interlock ランサムウェア
FreeBSDの暗号化プログラムは動作しなかったが、Windows版は我々の仮想マシン上で問題なく動作した。
トレンドマイクロによると、Windows 版の暗号化プログラムは Windows のイベントログを消去し、自己削除が有効になっている場合は DLL を使用して rundll32.exe を使用してメインバイナリを削除します。
ファイルを暗号化する際、ランサムウェアは暗号化されたすべてのファイル名に拡張子.interlockを付加し、各フォルダにランサムノートを作成します。
このランサムノートは!!__README__.txtという名前で、被害者のファイルに何が起こったかを簡潔に説明し、脅威を作り、Torネゴシエーションとデータ漏えいサイトへのリンクを張ります。
各被害者は固有の「Company ID」を持っており、このIDは電子メールアドレスとともに、脅威行為者のTorネゴシエーション・サイトに登録するために使用されます。他の多くの最近のランサムウェア作戦と同様、被害者向けの交渉サイトには、脅威行為者とのコミュニケーションに使用できるチャット・システムが含まれているだけです。
Interlockは攻撃を行う際、企業ネットワークに侵入し、サーバーからデータを盗み出すと同時に、他のデバイスにも拡散します。それが終わると、脅威者はランサムウェアを展開し、ネットワーク上のすべてのファイルを暗号化します。
窃取されたデータは、二重の恐喝攻撃の一部として使用され、身代金が支払われない場合、脅威者はデータを公に漏らすと脅します。
は、このランサムウェア作戦が、組織の規模に応じて数十万ドルから数百万ドルの身代金を要求することを明らかにした。
Comments