Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Sağlık ve İnsan Hizmetleri Dairesi (HHS) ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile birlikte, kilitleme ransomware grubu tarafından artan faaliyet konusunda bir uyarı yayınladı.
Bu finansal olarak motive edilen tehdit, Kuzey Amerika ve Avrupa’daki işletmeler ve hayati kritik altyapı da dahil olmak üzere çok çeşitli kuruluşları hedeflemekte ve mağdurlar üzerindeki baskıyı en üst düzeye çıkarmak için tehlikeli bir çifte gasp modeli kullanır.
Interlock’un Nadir Saldırı Yöntemleri
Interlock fidye yazılımı ilk olarak Eylül 2024’ün sonlarında tespit edildi ve FBI araştırmaları Haziran 2025’te gelişen taktiklerini detaylandırdı. Grup, özellikle sanal makineleri (VMS) şifrelemeye odaklanan hem Windows hem de Linux işletim sistemleri için şifrelemeler geliştirir. Açık kaynaklı raporlar ayrıca kilitleme ve Rhysida fidye yazılımı varyantı arasındaki benzerlikler önermektedir.
Bu grup, birçok fidye yazılımı grubundan farklı olan ilk erişim teknikleri için öne çıkıyor. Gözlemlenen bir yöntem, kötü amaçlı yazılımların Google Chrome veya Microsoft Edge gibi popüler web tarayıcıları için sahte güncellemeler olarak gizlendiği meşru ancak uzlaşmış web sitelerinden ‘sürücü by indirmeleri’ veya hatta Forticlient veya Cisco-Secure-Mastrient gibi ortak güvenlik araçlarını içerir.
Dahası, ClickFix adlı bir sosyal mühendislik hilesinden yararlanırlar, burada kullanıcılar, sistemlerinin çalışma penceresinde kötü amaçlı komutlar yapıştırmalarını ve yürütmelerini söyleyen sahte captchas’a tıklayarak zararlı dosyalar çalıştırmaya kandırılır.
Bir ağın içine girdikten sonra, fidye yazılımı, kontrol oluşturmak, sistemler arasında hareket etmek ve hassas bilgileri çalmak için Cobalt Strike gibi web mermilerini ve araçları dağıtır. Kullanıcı adları, şifreler de dahil olmak üzere giriş bilgileri toplarlar ve hatta tuş vuruşlarını kaydetmek için anahtarloger kullanırlar.
Danışmanlığa (PDF) göre, verileri çaldıktan sonra, kilitli şifreler sistemleri, dosyaları ekleyerek .interlock veya .1nt3rlock uzantılar. Daha sonra notlarında ilk miktar olmadan fidye talep ederler, bunun yerine kurbanlara TOR tarayıcısı üzerinden özel bir .onion web sitesi aracılığıyla iletişim kurmalarını söylerler. Grup, tipik olarak Bitcoin’de ödenen fidye karşılanmazsa, sürekli olarak takip ettikleri bir tehditle sızmakla tehdit etmekle tehdit eder.
Kuruluşlar için acil savunmalar
Kilit tehdidine karşı koymak için, federal kurumlar kuruluşları acil güvenlik önlemleri uygulamaya çağırıyor. Temel savunmalar şunları içerir:
- DNS filtreleme ve web erişim güvenlik duvarlarını kullanarak başlangıç erişimini önlemek ve çalışanları sosyal mühendislik girişimlerini tespit etmek için eğitmek.
- Tüm işletim sistemlerinin, yazılımının ve ürün yazılımının güncel olduğundan emin olarak bilinen güvenlik açıklarına öncelik vererek yama ve güncelleme.
- Daha güçlü kimlik ve erişim yönetimi politikaları ile birlikte mümkün olduğunca tüm hizmetler için çok faktörlü kimlik doğrulama (MFA) gibi güçlü kimlik doğrulama uygulaması.
- Fidye yazılımlarının ne kadar yayılabileceğini sınırlamak için ağları bölümlere ayırarak ağ kontrolü.
- Tüm kritik verilerin birden fazla, çevrimdışı, değişmez (değişmez) yedeklemesini koruyarak yedekleme ve kurtarma.
Ayrıca, devam eden #Stopransomware girişimi aracılığıyla ücretsiz kaynak mevcut değildir.