Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Interlock Ransomware: Alerta Urgentă CISA pentru Sistemele Windows și Linux

Interlock Ransomware: Alerta Urgentă CISA pentru Sistemele Windows și Linux

-

Rating: 0.0 (0 voturi)
Noutăți 23.07.2025

CISA (Cybersecurity and Infrastructure Security Agency) a emis o avertizare urgentă privind grupul de ransomware Interlock, care atacă companii și infrastructuri critice încă din septembrie 2024. Această variantă de ransomware este deosebit de sofisticată, folosind metode de atac neconvenționale, cum ar fi descărcările drive-by de pe site-uri web legitime compromise, ceea ce face detectarea mai dificilă. Actorii Interlock sunt motivați financiar și își aleg victimele pe baza oportunităților, fără un focus specific pe industrie, reușind să infiltreze organizații din America de Nord și Europa.

Tactica cheie a grupului Interlock este extorcarea dublă: atacatorii nu doar criptează datele victimelor, ci le și sustrag pe cele sensibile. Această abordare duală mărește presiunea asupra organizațiilor de a plăti răscumpărările, deoarece se confruntă atât cu întreruperi operaționale, cât și cu amenințarea expunerii publice a datelor pe site-ul lor (al Interlock) de scurgere date de pe dark web. Ransomware-ul vizează atât sistemele de operare Windows, cât și Linux, cu un accent deosebit pe criptarea mașinilor virtuale, ceea ce îl face periculos pentru mediile IT hibride.

De asemenea, Interlock a adoptat tehnica de inginerie socială "ClickFix", prin care victimele sunt păcălite să execute programe malware accesand ferestre CAPTCHA false care par să rezolve probleme de sistem. Spre deosebire de alte grupuri de ransomware, Interlock nu include cereri inițiale de răscumpărare în notele sale, ci stabilește canale de comunicare directă pentru negocieri. CISA recomandă măsuri de protecție, inclusiv soluții robuste de detectare și răspuns la punctele finale (EDR), filtrarea DNS, firewall-uri de acces web, segmentarea rețelei și instruirea utilizatorilor pentru recunoașterea atacurilor de inginerie socială.


Sfaturi de Protectie


1. Actualizează Constant Sistemele și Software-ul Tău

Obiectiv: Elimină vulnerabilitățile cunoscute pe care Interlock le poate exploata.

Pe Linux (Ubuntu/Debian):

  • Pasul 1: Deschide un terminal (de obicei Ctrl+Alt+T).
  • Pasul 2: Rulează comanda: sudo apt update (aceasta actualizează lista de pachete disponibile). Apasă Enter și introdu parola ta de utilizator când ți se cere.
  • Pasul 3: După ce actualizarea listei este completă, rulează comanda: sudo apt upgrade -y (aceasta instalează toate actualizările disponibile pentru pachetele instalate).
  • Pasul 4: Pentru actualizări majore de sistem, inclusiv kernel-ul (care ar putea necesita repornire), rulează: sudo apt dist-upgrade -y.
  • Pasul 5: Repornește sistemul dacă s-au actualizat componente critice (ex: kernel).

Pe Windows:

  • Pasul 1: Mergi la Start > Setări (pictograma roată dințată).
  • Pasul 2: Selectează Actualizare și securitate.
  • Pasul 3: În panoul din stânga, alege Windows Update.
  • Pasul 4: Dă click pe Verificați dacă există actualizări și instalează toate actualizările disponibile.
  • Pasul 5: Asigură-te că opțiunea Actualizări automate este activată pentru a primi patch-uri de securitate imediat.

Pe VMware ESXi/vCenter:

  • Pasul 1: Accesează portalul VMware Customer Connect (fostul MyVMware).
  • Pasul 2: Navighează la Products > My Products și caută produsele VMware vSphere/ESXi pe care le ai.
  • Pasul 3: Descarcă pachetele de patch-uri (patch bundles) sau actualizările complete relevante pentru versiunea ta de ESXi/vCenter.
  • Pasul 4: Pentru ESXi (via SSH): Activează SSH pe hostul ESXi, conectează-te cu un client SSH (ex: PuTTY). Copiază pachetul de actualizare pe un datastore accesibil (ex: folosind WinSCP). Rulează comanda esxcli software vib install -d /calea/catre/fisierul.zip sau esxcli software vib update -d /calea/catre/fisierul.zip. Repornește hostul ESXi după instalare.
  • Pasul 5: Pentru vCenter (via vSphere Update Manager - VUM / Lifecycle Manager): Importă pachetele de actualizare în VUM/Lifecycle Manager. Creează o linie de bază (baseline) cu actualizările respective. Atașează linia de bază la hosturile sau clusterul tău. Scanează, remediază (remediate) și repornește hosturile ESXi conform procesului VUM/Lifecycle Manager.



2. Implementează Soluții Robuste de EDR (Endpoint Detection and Response)

Obiectiv: Detectează și răspunde rapid la activități malițioase, în special pe mașinile virtuale.

Pasul 1: Alege o Soluție EDR - Cercetează și selectează un furnizor EDR de încredere, cum ar fi CrowdStrike, SentinelOne, sau Microsoft Defender for Endpoint. Asigură-te că soluția oferă suport robust pentru sistemele de operare pe care le folosești (Windows, Linux) și pentru mediile virtualizate (VMware).

Pasul 2: Implementare și Configurare:

  • Descarcă și instalează agenții EDR pe toate sistemele endpoint: servere fizice, stații de lucru, laptopuri și fiecare mașină virtuală (VM) rulând Windows sau Linux.
  • Configurează politicile EDR pentru a include detecția comportamentală, izolarea automată a endpoint-urilor infectate și blocarea proceselor suspecte.
  • Configurează alertele pentru evenimente critice (ex: criptarea fișierelor, rularea de scripturi suspecte, mișcarea laterală).

Pasul 3: Monitorizare Continuă: Monitorizează activ consola EDR. Analizează alertele și jurnalele generate pentru a identifica comportamente suspecte sau atacuri în desfășurare.


3. Utilizează Filtrarea DNS și Firewall-uri de Acces Web

Obiectiv: Blochează accesul la site-uri malițioase, descărcări drive-by și servere de comandă și control (C2) ale atacatorilor.

Pasul 1: Implementează Filtrarea DNS:

  • Opțiunea A (La nivel de rețea): Configurează serverele DNS interne ale organizației (sau routerele/firewall-urile) să utilizeze servicii de filtrare DNS care blochează domeniile cunoscute ca fiind malițioase sau asociate cu ransomware (ex: Cisco Umbrella, Cloudflare for Teams, Quad9). Acest lucru protejează toate dispozitivele din rețea.
  • Opțiunea B (La nivel de endpoint): Instalează agenți de filtrare DNS pe fiecare sistem individual, dacă opțiunea la nivel de rețea nu este fezabilă sau pentru dispozitive mobile.

Pasul 2: Configurează Firewall-uri de Acces Web (NGFW/WAF):

  • Implementează un Next-Generation Firewall (NGFW) la perimetrul rețelei (sau un Web Application Firewall - WAF dacă ai aplicații web expuse public).
  • Configurează regulile firewall-ului pentru a activa inspecția traficului HTTPS/SSL



4. Segmentarea Rețelei Este Esențială

Obiectiv: Limitează răspândirea ransomware-ului în rețea în cazul unei compromiteri inițiale.

Pasul 1: Identifică și Izolează Segmentele Critice:

Creează segmente de rețea separate (VLAN-uri sau subrețele) pentru:

  • Servere esențiale (baze de date, controlere de domeniu).
  • Mașini virtuale (VM-uri) și hypervisori.
  • Sisteme de producție/operaționale (OT/ICS), dacă este cazul.
  • Rețeaua de utilizatori (stații de lucru, laptopuri).
  • Rețeaua pentru oaspeți (Guest Wi-Fi).
  • Asigură-te că infrastructura de backup este într-un segment izolat și accesibilă doar când este necesar.

Pasul 2: Implementează Reguli Stricte de Firewall:

  • Utilizează firewall-uri pentru a crea reguli stricte de trafic între aceste segmente.
  • Aplică principiul "least privilege" și pentru trafic: permite doar comunicarea esențială necesară pentru funcționare

Pasul 3: VLAN-uri (Virtual LANs): Configurează switch-urile de rețea pentru a crea VLAN-uri și a aloca porturile corespunzătoare pentru fiecare segment de rețea.



5. Educa Utilizatorii Împotriva Ingineriei Sociale

Obiectiv: Redu riscul ca angajații să devină victime ale tacticilor de inginerie socială precum "ClickFix", folosite de Interlock.

Organizează Sesiuni de Training Interactive și Regulate:

  • Educă angajații despre riscurile ingineriei sociale și despre cum să identifice e-mailurile suspecte, linkurile false și tacticile de tip CAPTCHA înșelătoare (precum "ClickFix").
  • Subliniază pericolul descărcărilor drive-by de pe site-uri compromise.




6. Implementează Backupuri

Obiectiv: Asigură-te că poți recupera rapid datele după un atac ransomware, fără a plăti răscumpărarea.

Definește Strategia de Backup 3-2-1:

  • 3 copii: Păstrează cel puțin trei copii ale datelor tale.
  • 2 tipuri de suport: Stochează copiile pe două tipuri diferite de suport (ex: disc local, bandă, cloud).
  • 1 off-site: Păstrează cel puțin o copie de rezervă în afara locației fizice principale (ex: în cloud, la o altă sucursală).




7. Gestionează Proactiv Vulnerabilitățile și Patch-urile

Obiectiv: Redu suprafața de atac prin identificarea și remedierea sistematică a punctelor slabe.

Pasul 1: Implementează Scanarea Continuă a Vulnerabilităților:

  • Folosește instrumente automate de scanare a vulnerabilităților (ex: Nessus, Qualys, OpenVAS) pentru a scana regulat toate sistemele din rețea (servere, stații de lucru, dispozitive de rețea, aplicații).
  • Programează scanări periodice (săptămânal/lunar).

Pasul 2: Prioritizează și Aplică Patch-uri:

  • Prioritizează: Concentrează-te pe remedierea vulnerabilităților critice și de înaltă severitate (conform scorurilor CVSS) imediat ce sunt disponibile patch-uri.
  • Automatizează (unde este posibil): Utilizează un sistem de gestionare a patch-urilor (ex: WSUS, SCCM, Ansible, SaltStack) pentru a automatiza distribuția și instalarea patch-urilor pe toate sistemele.




8. Restricționează Privilegiile (Principiul Least Privilege)

Obiectiv: Limitează daunele în cazul compromiterii unui cont de utilizator sau a unui sistem.

Implementează Conturi cu Privilegii Minime:

  • Acordă utilizatorilor și serviciilor (aplicațiilor, conturilor de sistem) doar privilegiile strict necesare pentru a-și îndeplini sarcinile. Evită acordarea de privilegii de administrator pentru utilizarea zilnică.
  • Creează conturi separate cu privilegii administrative doar pentru sarcini specifice, care să fie folosite doar atunci când este absolut necesar.




9. Monitorizează Activ Jurnalele (Log Monitoring)

Obiectiv: Detectează activități suspecte și indicatori de compromitere în stadii incipiente, înainte ca daunele să devină extinse.

Implementează un Sistem SIEM (Security Information and Event Management):

Configurează un SIEM (ex: Splunk, Elastic SIEM/Stack, Microsoft Sentinel, Graylog) pentru a colecta, centraliza, corela și analiza jurnalele de evenimente de pe toate sursele critice din rețea:

  • Servere (Windows Event Logs, jurnale Linux Syslog/Auditd)
  • Hypervisori (VMware vCenter/ESXi logs)
  • Dispozitive de rețea (firewall-uri, routere, switch-uri)
  • Soluții EDR/Antivirus
  • Sisteme de autentificare (Active Directory, LDAP)



10. Pregătește un Plan de Răspuns la Incidente

Obiectiv: Minimizează timpul de nefuncționare și impactul financiar/reputațional al unui atac ransomware.

Pasul 1: Creează o Echipă de Răspuns la Incidente (CSIRT/IR Team):

  • Desemnează o echipă internă cu membri din IT, Securitate, Legal, PR și Management.
  • Definește roluri și responsabilități clare pentru fiecare membru în timpul unui incident.

Pasul 2: Dezvoltă și Documentează Planul:

  • Elaborează un plan detaliat de răspuns la incidente care să acopere etapele: Pregătire, Detecție și Analiză, Izolare, Eradicare, Recuperare și Post-Incident (lecții învățate).
  • Include proceduri specifice pentru răspunsul la ransomware (ex: cum să deconectezi rapid sistemele infectate, cum să restaurezi din backup).
  • Păstrează o copie tipărită a planului și a informațiilor de contact esențiale (pentru cazul în care sistemele digitale sunt inaccesibile).


Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa