美国CISA警告企业需警惕一种名为Interlock的新型勒索软件变种。该勒索软件组织利用多种手段，包括伪装成浏览器更新的路过式下载和“ClickFix”社会工程技术，成功渗透企业系统。近期，该变种升级，从JavaScript转向PHP，并已对医疗、教育、技术等关键行业发起高调攻击，导致大量诊疗程序取消。Interlock组织不仅加密文件，还威胁公开窃取的数据，并要求在短时间内支付比特币赎金。安全专家建议企业加强端点检测、多因素认证、网络分段，并提升员工识别社会工程攻击的意识。

🔍 **新型Interlock勒索软件变种的威胁日益严峻：** 该勒索软件组织自2024年秋季出现以来，已针对北美和欧洲的医疗、教育、技术、政府和制造业等关键基础设施组织发动攻击。其最新变种在技术上有所升级，从最初的JavaScript转向更具弹性的PHP，表明其攻击手段的不断演变和适应性。

💻 **多样的攻击向量和技术手段：** Interlock勒索软件组织采用多种非典型方法进行初始访问，包括通过入侵合法网站进行“路过式下载”，将恶意软件伪装成虚假的Google Chrome或Microsoft Edge浏览器更新。此外，他们还擅长使用“ClickFix社会工程技术”，诱骗用户执行恶意PowerShell脚本，最终植入远程访问木马（RAT）。

💊 **对医疗行业的重大影响：** Interlock勒索软件尤其对医疗行业造成了严重影响，例如在2024年5月，该组织声称对中西部医疗集团Kettering Health进行了长达数周的勒索软件攻击，导致其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序，凸显了其对关键民生服务的破坏力。

💰 **双重勒索策略与高压谈判：** Interlock组织采用双重勒索策略，不仅加密受害者文件（使用.interlock或.1nt3rlock文件扩展名），还威胁公开窃取的大量敏感数据（如从Kettering Health窃取的1TB数据）以施加更大压力。一旦受害者被感染，通常只有96小时的谈判时间，并且被警告不要尝试恢复数据，否则可能导致不可逆的损害。

🛡️ **企业应对策略与建议：** 为应对Interlock勒索软件的威胁，CISA建议企业加强系统防护，包括实施强大的端点检测和响应（EDR）工具，修补暴露的系统，采用多因素认证，以及进行网络分段。同时，提升员工识别社会工程尝试的意识也至关重要，以避免系统被入侵。

HackerNews 编译，转载请注明出处：

美国网络安全和基础设施安全局（CISA）周二警告北美和欧洲的企业，需加强系统防护以应对一种新的Interlock勒索软件变种。

该双重勒索组织于2024年秋季首次出现在勒索软件领域，已知针对各种关键基础设施组织和行业，包括医疗保健、教育、技术、政府和制造业。

“这些行为者本质上是机会主义且受经济利益驱动，采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。

“Interlock勒索软件是一个鲜明的例子，展示了当今勒索软件组织变得多么危险和不可预测，”Swimlane的首席安全自动化架构师Nick Tausek表示。

“尽管他们直到2024年底才被发现，但该组织一直非常活跃，并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。

今年5月，Interlock成为头条新闻，原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责，该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。

JavaScript转向PHP

FBI表示，已观察到Interlock通过入侵合法网站进行路过式下载（drive-by download）来获得对其受害者的初始访问权限，将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新，这对勒索软件行为者而言是一种非典型方法。

该组织还以使用“ClickFix社会工程技术”而闻名，例如，通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马（RAT）。

“验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容，然后执行恶意Base64编码的PowerShell进程。”公告称。

该警告发布不到一周前，The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。

这种新变种转而使用PHP，似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。

Interlock Kongtube FileFix 恶意软件活动
链接的JavaScript首先提示用户点击验证码以“验证您是人类”，然后是“验证步骤”，要求打开运行命令并粘贴剪贴板内容。粘贴后，它会执行一个PowerShell脚本，最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。

Tausek解释说，Interlock的独特之处在于其战术多样性。

“该组织曾使用ClickFix攻击冒充IT工具渗透网络，部署远程访问木马（RAT）来传播恶意软件，并且最近采用了双重勒索策略以最大化对受害者的压力。”

安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处，表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。

World Secrets Blog

已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心（C2），然后通常会下载PowerShell来安装某种信息窃取程序（如LumanStealer）以及键盘记录器二进制文件，以“窃取凭据进行横向移动和权限提升”。

Interlock会部署针对Windows和Linux操作系统的勒索软件加密器，同时也常用AnyDesk进行远程文件传输。

在加密受害者的文件（使用.interlock或.1nt3rlock文件扩展名）后，该团伙会发送一张便条，指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。

“您的网络已被入侵，我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道，威胁称除非支付未公开的赎金，否则将公布其声称从Kettering网络中窃取的1TB数据。

Broadcom在2024年10月对该勒索软件团伙的分析报告中指出，其“警告受害者不要修改文件、使用恢复软件或重启系统，因为这些行为可能导致不可逆转的损害。”Broadcom还表示，Interlock受害者通常只有96小时进行谈判。

根据Cybernews的Ransomlooker工具，自今年1月以来，该组织已声称至少攻击了35名勒索软件受害者，其中约一半的攻击发生在过去六周内。

“这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量，通常是同时进行，组织必须做好准备，”Tausek告诉Cybernews。

CISA建议组织通过实施强大的端点检测和响应（EDR）工具及能力来加固系统，包括修补暴露的系统、采用多因素认证和进行网络分段。

Tuasek表示，除了定期修补、网络分段和其他主动防御措施外，“同样关键的是让员工具备识别社会工程尝试的意识，以免导致系统被入侵。”

 

 

 

---

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文