Ransomware Interlock: infrastrutture critiche nel mirino dei cybercriminali

Nelle ultime settimane il ransomware Inteclock sembra aver intensificato le proprie attività, proponendo una nuova e preoccupante strategia. L’agente malevoli ha infatti preso di mira i server che funzionano attraverso il sistema operativo FreeBSD, noto per la sua affidabilità e dunque utilizzato spesso nel contesto di infrastrutture critiche.

Con le prime attività segnalate a partire da settembre 2024, questo gruppo di cybercriminali si è già fatto un certo nome nel settore, avendo rivendicato attacchi contro sei grandi obiettivi, tra cui la Contea di Wayne, Michigan, che ha subito un attacco lo scorso mese di ottobre. La peculiarità di Interlock risiede nell’uso di un encryptor progettato specificamente per FreeBSD, caratteristica che rende il gruppo unico nel panorama del cybercrimine.

Così come altri gruppi impegnati nel contesto ransomware, anche Interlock si affida alla tecnica di doppia estorsione. Ciò significa che i malviventi non solo non solo criptano i file delle vittime ma minacciano anche di divulgare dati rubati se non vengono pagati adeguati riscatti. A seconda del caso, questi possono variare da qualche migliaio di euro fino a più milioni.

Il ransomware Interlock è un potenziale pericolo per servizi come hosting Web e posta elettronica

Stando a quanto riportato dagli esperti di sicurezza di MalwareHunterTeam, le strategie d’attacco prevedono l’infiltrazione delle reti aziendali e il furto di dati. Il ransomware in questione agisce modificando i file presi di mira, aggiungendo agli stessi l’estensione “.interlock” e creando note di riscatto chiamate !README!.txt nelle cartelle colpite. All’interno del documento vengono fornite informazioni sui pagamenti e collegamenti a siti di negoziazione accessibili tramite Tor.

Un aspetto preoccupante è che l’encryptor FreeBSD è stato compilato specificamente per la versione 10.4 e si presenta come un eseguibile ELF a 64 bit. Questo attacco è particolarmente insidioso poiché i server FreeBSD sono comunemente utilizzati per funzioni critiche come hosting Web e sistemi di posta elettronica, rendendo questi servizi potenzialmente a rischio.

Per contrastare la diffusione di Interlock esistono comunque delle mosse efficaci, come sottolineato da Ilia Sotnikov, Security Strategist presso Netwrix. Secondo Sotnikov è importante implementare misure di sicurezza multilivello, come firewall e sistemi di rilevamento per evitare intrusioni.

Secondo l’esperto, le organizzazioni dovrebbero sempre adottare una filosofia zero trust, limitando i privilegi degli utenti solo a ciò che è necessario per svolgere le mansioni specifiche.