Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA ACTIVIDAD RELACIONADA AL RECIENTE RANSOMWARE INTERLOCK

19/12/2024

NUEVA ACTIVIDAD RELACIONADA AL RECIENTE RANSOMWARE INTERLOCK
Mediante el monitoreo constante del CSIRT Financiero, se ha identificado una nueva actividad maliciosa asociada con el ransomware Interlock, que apareció a finales de septiembre de 2024 y afecta tanto a sistemas BSD como a Windows. En los sistemas FreeBSD, ampliamente utilizados en servidores de infraestructura crítica, Interlock representa un riesgo significativo, ya que los actores maliciosos pueden interrumpir servicios esenciales y exigir rescates. Se ha observado que el ransomware incluye cadenas de código compiladas específicamente para FreeBSD 10.4.

Por otro lado, se detectó una variante de Interlock orientada a Windows. En esta versión, el ransomware cifra archivos, agrega la extensión “.interlock” y crea una nota de rescate en cada carpeta afectada, titulada “¡!README!.txt”, que explica el ataque y proporciona un enlace de negociación en la red TOR para contactar con los cibercriminales. Además de cifrar datos, Interlock utiliza una técnica de "doble extorsión": primero, exige un pago para descifrar los archivos y luego amenaza con publicar los datos exfiltrados si la víctima no paga el rescate.

Para evadir la detección, la variante de Windows elimina los registros de eventos del sistema, como el historial de actividades, ocultando así rastros que podrían alertar a los administradores de seguridad. Si se configura para autodestruirse, emplea una DLL y el programa rundll32.exe para borrar el archivo principal del ransomware, dejando menos evidencia de su presencia en el sistema.

Vector de infección:

Interlock principalmente se infiltra en sistemas BSD a través de vulnerabilidades en el software y configuraciones inseguras, aprovechando exploits en aplicaciones desactualizadas o mal configuradas. En el caso de Windows, los vectores de infección son predominantemente el phishing y otros métodos de ingeniería social, donde los cibercriminales envían correos electrónicos maliciosos con enlaces o archivos adjuntos que, al ser abiertos por los usuarios, permiten la descarga e instalación del ransomware.

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
  • Realizar copias de seguridad periódicas de todos los datos importantes y almacenar estas copias en un lugar seguro y desconectado de la red, para garantizar la recuperación en caso de un ataque.
  • Mantener sistemas operativos y aplicaciones siempre actualizados con los últimos parches de seguridad para protegerse contra vulnerabilidades conocidas.

 Leer noticia: https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/