Nova Ransomware Grupa Interlock Cilja FreeBSD Servere
U svijetu cybersigurnosti, nova ransomware grupa pod nazivom Interlock stekla je pažnju zbog svoje jedinstvene strategije koja se fokusira na FreeBSD poslužitelje. Ova operacija, koja je započela krajem rujna 2024. godine, koristi enkripcijski alat posebno dizajniran za FreeBSD, čime se izdvaja od drugih sličnih zaključanih sustava.
Metode Napada Interlock
Interlock je već preuzeo odgovornost za napade na šest organizacija, uključujući i Wayne County u Michiganu, koji je bio cilj cybernapada u listopadu 2024. godine. Stručnjaci za cybersigurnost, Simo i MalwareHunterTeam, prvi su analizirali uzorke ove ransomware grupe i otkrili njihove metode napada, koje uključuju:
- Provale u korporativne mreže
- Krađu podataka
- Širenje napada na druge uređaje
- Enkripciju datoteka
Interlock koristi dvostrane iznude i prijetnje o objavljivanju ukradenih podataka ako se ne plate otkupi, koji se kreću od stotina tisuća do milijuna dolara. Za razliku od drugih ransomware grupa koje obično napadaju Linux-bazirane VMware ESXi poslužitelje, Interlock se specijalizirao upravo za FreeBSD. To čini ovu grupu posebno zanimljivom, s obzirom na to da FreeBSD često koristi kritična infrastruktura i sustavi, čime postaje primarni cilj za ometanje vitalnih usluga.
Tehnološke Karakteristike i Izazovi
Enkripcijski alat Interlocka sastavljen je posebno za FreeBSD 10.4 i predstavlja 64-bitni ELF izvršni program. Iako je testiranje uzoraka na Linuxu i FreeBSD virtualnim strojevima bilo izazovno, jer nije ispravno funkcionirao u kontroliranim okruženjima, istraživači iz Trend Microa pronašli su dodatne uzorke FreeBSD enkriptor koji potvrđuju njegovu funkcionalnost.
Jedan od ključnih razloga zašto je Interlock odabrao FreeBSD je njegova prisutnost u kritičnim sustavima, gdje bi napadi mogli izazvati široke poremećaje. Iako je verzija za FreeBSD predstavljala izazove tijekom analize, Windows enkriptor se pokazao učinkovitim. On briše logove događaja i, ako je konfiguriran, koristi rundll32.exe za brisanje svog binarnog koda nakon izvršavanja.
Način Funkcioniranja i Ransom Note
Ransomware dodaje ekstenziju ".interlock" na enkriptirane datoteke i stvara otkupne poruke pod nazivom "!README!.txt" u pogođenim mapama. Ove poruke sadrže osnovne informacije o enkripciji, prijetnjama i poveznicama na Tor bazirane stranice za pregovaranje i objavljivanje podataka. Svaka žrtva dobiva jedinstveni “Company ID” za komunikaciju s napadačima putem chat sustava.
Preporuke za Sprečavanje Napada
Ilia Sotnikov, stručnjak za sigurnost u Netwrixu, savjetuje organizacijama da implementiraju višeslojne sigurnosne mjere. Preporučuje korištenje zaštitnih zidova za mrežu i web aplikacije, sustava za otkrivanje upada i obrane od phishinga kako bi se spriječile inicijalne provale. “S obzirom na to da je napadač najvjerojatnije pristupio FreeBSD poslužitelju iz unutrašnjosti mreže, dobro bi bilo minimizirati zadržana prava implementiranjem načela nultog povjerenja, omogućujući korisnicima samo nužne dozvole za obavljanje njihovih zadataka,” dodaje Sotnikov.
Zaključak
Interlock predstavlja novu, ozbiljnu prijetnju koja se usredotočuje na specifičnu nišu u svijetu ransomwera. Njihov cilj su FreeBSD serveri, a s obzirom na sveprisutnu uporabu ovog operativnog sustava u kritičnim funkcijama, važno je da organizacije ostanu svjesne rizika i implementiraju učinkovite sigurnosne mjere kako bi zaštitile svoje podatke.
