- Interlock 랜섬웨어는 이제 의료, 정부 및 제조 부문을 표적으로 삼아 운영 성숙도에 도달했습니다.
- 다중 플랫폼 공격, 클라우드 기반 C2, 전체 수명주기 자동화를 지원합니다.
- Forescout에서는 위험을 줄이기 위해 조기 감지, 행동 분석 및 액세스 제어를 요구합니다.
Interlock 랜섬웨어는 더 이상 중간 수준의 자격 증명 도용자가 아닙니다. 이제 자체 계열사, 자동화 및 전문 운영을 갖춘 매우 정교한 클라우드 지원 다중 플랫폼 랜섬웨어 기업이 되었습니다.
이는 2024년 중반부터 Interlock을 추적해 온 보안 연구원 ForScout의 새로운 보고서에 따른 것입니다.
보고서에서 Forscout는 Interlock이 2025년 2월에 “운영 성숙도”(3단계)에 진입하여 의료, 정부 및 제조와 같은 분야의 고가치 표적을 공격할 수 있다고 밝혔습니다.
운영 성숙도 단계
운영이 성숙해지면서 Interlock은 계열사 또는 파트너 그룹이 Interlock의 이름으로 공격을 수행할 수 있도록 허용하는 비즈니스 플랫폼처럼 작동하기 시작했습니다. 또한 더 이상 단편적이거나 실험적인 접근 방식에 의존하지 않고 완전한 공격 라이프사이클을 통합합니다. 기본 액세스 및 측면 이동부터 암호화 및 데이터 유출까지 모든 것이 인터록을 통해 수행될 수 있습니다.
랜섬웨어는 Windows뿐만 아니라 Linux, BSD 및 VMware ESXi 서버를 대상으로 확장되었으며 이제 CloudFlare 터널 및 Azure의 AzCopy 유틸리티를 포함하여 명령 및 제어(C2) 및 데이터 추출을 위해 합법적인 클라우드 서비스를 사용합니다.
가짜 업데이트 페이지에서 FortiClient 또는 Cisco AnyConnect와 같은 위장된 비즈니스 소프트웨어로 이동했으며 ClickFix 및 FileFix와 같은 새로운 사회 공학 미끼를 채택했습니다. 유지관리자는 기본 액세스 브로커로부터 인증서를 구매하여 즉시 권한 있는 액세스를 제공합니다. 그런 다음 Cobalt Strike, SystemBC, Putty, PSX 및 Posh-SSH와 같은 도구를 사용하여 측면으로 이동하고 네트워크 전체에서 시스템을 제어합니다.
악성 플랫폼은 지속성과 은폐성을 향상했으며 이제 클라우드를 활용하여 데이터를 훔칩니다. 랜섬웨어의 랜섬웨어 메모는 더욱 전문적으로 들리게 되었으며 기타 통신 내용도 이제 기업의 “사고 경고”와 유사하다고 Forescout는 덧붙였습니다. 이제 협상 기술에 집중하세요.
보고서는 “커뮤니케이션 톤은 중단이 아닌 ‘보안 경고’를 강조하는 비즈니스 중심 랜섬웨어 작업의 특징입니다. 그러나 메시지는 GDPR, HIPAA 또는 기타 프레임워크에 따른 고객 데이터 노출에 대한 법적 책임 및 규제 벌금을 포함하여 미결제의 결과를 강조합니다.”라고 보고서는 강조했습니다.
연동으로부터 보호하기 위해 Forescout에서는 랜섬웨어 동작을 조기에 식별하고 공격 표면을 줄이는 데 집중할 것을 권장합니다. 여기에는 위험 기반 조건부 액세스 정책 사용, 동작 분석 구현, PowerShell 활동 모니터링, 인증 로그의 변칙 검색, 측면 이동 징후 관찰이 포함됩니다.
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
