Hoe interlock ransomware zorgorganisaties infecteert

Cyberbeveiliging
Hoe interlock ransomware zorgorganisaties infecteert

Ransomware -aanvallen hebben een ongekende schaal bereikt in de gezondheidszorgsector, waardoor kwetsbaarheden worden blootgelegd die miljoenen in gevaar brengen. Onlangs onthulde UnitedHealth dat 190 miljoen Amerikanen hun persoonlijke en gezondheidszorggegevens hadden gestolen tijdens de ransomware -aanval van Change Healthcare, een cijfer dat bijna het eerder bekendgemaakte totaal verdubbelt.

Deze inbreuk laat zien hoe diep ransomware kritieke systemen kan infiltreren, waardoor het vertrouwen en de zorg van de patiënt in de balans blijft.

Een van de groepen die zich richt op deze reeds fragiele sector is de interlock -ransomware -groep. Bekend om hun berekende en geavanceerde aanvallen, richten ze zich op ziekenhuizen, klinieken en andere medische dienstverleners.

Interlock Ransomware Group: een actieve bedreiging voor de gezondheidszorg

De Interlock Ransomware Group is een relatief recente maar gevaarlijke speler in de wereld van cybercriminaliteit, bekend om het gebruik van dubbele tactieken.

Deze methode omvat het coderen van de gegevens van een slachtoffer om de bewerkingen te verstoren en dreigt gevoelige informatie te lekken als niet wordt voldaan. Hun primaire motivatie is financieel winst en hun methoden zijn afgestemd op de druk op hun doelen.

Opmerkelijke kenmerken

  1. Verfijning: De groep maakt gebruik van geavanceerde technieken zoals phishing, nep -software -updates en kwaadaardige websites om initiële toegang te krijgen.
  2. Vasthoudendheid: Hun vermogen om niet gedetecteerd te blijven voor lange periodes versterkt de schade die ze kunnen veroorzaken.
  3. Snelle inzet: Eenmaal in een netwerk bewegen ze snel lateraal, stelen ze gevoelige gegevens en het voorbereiden van systemen voor codering.
  4. Ransom -eisen op maat: De groep beoordeelt zorgvuldig de waarde van de gestolen gegevens om losgeld in te stellen die slachtoffers waarschijnlijk zullen betalen.

Recente doelen van Interlock Ransomware Group

Eind 2024 richtte Interlock zich op meerdere organisaties in de gezondheidszorg in de Verenigde Staten, waardoor gevoelige patiëntinformatie werd blootgelegd en de activiteiten ernstig verstoorde. Slachtoffers inbegrepen:

  • Brockton Neighborhood Health Center: Gebroken in oktober 2024, waarbij de aanval bijna twee maanden onopgemerkt blijft.
  • Legacy Treatment Services: Gedetecteerd eind oktober 2024.
  • Drugs- en alcoholbehandelingsservice: Gecompromitteerde gegevens die in dezelfde periode zijn ontdekt.

Interlock Ransomware Group Attack Chain

De interlock-ransomware-groep begint zijn aanval met een strategische en zeer misleidende methode die bekend staat als een drive-by compromis. Met deze techniek kan de groep initiële toegang krijgen tot gerichte systemen door nietsvermoedende gebruikers te exploiteren, vaak door zorgvuldig ontworpen phishing -websites.

Eerste aanval van de ransomware

De aanval begint wanneer de vergrendelingsgroep een bestaande legitieme website in gevaar brengt of een nieuw phishing -domein registreert. Deze sites zijn zorgvuldig gemaakt om betrouwbaar te verschijnen, die geloofwaardige platforms nabootsen zoals nieuwsportals of software downloadpagina’s. De sites bevatten vaak links om nep -updates of tools te downloaden, die, wanneer ze worden uitgevoerd, het apparaat van de gebruiker infecteren met kwaadaardige software.

Voorbeeld: De interactieve sandbox van Any.run detecteerde een domein gemarkeerd als onderdeel van de activiteit van Interlock, Apple-Online.Shop. Dit laatste is ontworpen om gebruikers te misleiden om malware te downloaden vermomd als legitieme software.

Deze tactiek omzeilt effectief de eerste laag van het vermoeden van gebruikers, maar met vroege detectie en analyse kunnen SOC -teams snel kwaadaardige domeinen identificeren, toegang tot het blokkeren en sneller reageren op opkomende bedreigingen, waardoor de potentiële impact op bedrijfsactiviteiten wordt verminderd.

Bekijk analysesessie

Rust uw team uit met de tools om cyberdreigingen te bestrijden.

Krijg een 14-daagse gratis proefperiode en analyseer onbeperkte bedreigingen met elke.run.

Uitvoering: hoe interlock controle krijgt

Zodra de ransomware -groep in elkaar de eerste verdedigingen inbreuk maakt, begint de uitvoeringsfase. In dit stadium implementeren aanvallers kwaadaardige payloads of voeren ze schadelijke opdrachten uit op gecompromitteerde apparaten, waardoor het podium wordt ingesteld voor volledige controle over het netwerk van het slachtoffer.

Interlock -ransomware vermomt vaak zijn kwaadaardige tools als legitieme software -updates om gebruikers te misleiden. Slachtoffers lanceren onbewust nep -updaters, zoals die nabootsende Chrome-, Msteams- of Microsoft Edge -installateurs, denkend dat ze routinematig onderhoud uitvoeren. In plaats daarvan activeren deze downloads Remote Access Tools (ratten), die aanvallers volledige toegang geven tot het geïnfecteerde systeem.

Binnen elke.run’s sandbox -sessie, een van de updaters, upd_8816295.exewordt duidelijk geïdentificeerd in de procesboom aan de rechterkant, wat zijn kwaadaardige gedrag en uitvoeringsstroom aantoont.

Door op de knop Malconf aan de rechterkant van de Sandbox -sessie van Any.run te klikken, onthullen we de gecodeerde URL verborgen in de nep -updater.

Analisten ontvangen gedetailleerde gegevens in een duidelijk en gebruiksvriendelijk formaat, helpen bedrijven om hun workflows van dreigingsrespons te verbeteren, de analysetijd te verminderen en snellere en effectievere resultaten te bereiken bij het vechten tegen cyberdreigingen.

Compromitterende gevoelige toegang

De volgende stap van de aanval is om toegangsreferenties te stelen. Deze referenties geven aanvallers de mogelijkheid om lateraal binnen het netwerk te bewegen en de infrastructuur van het slachtoffer verder te exploiteren.

De interlock -ransomware -groep gebruikte een aangepaste Stealer -tool om gevoelige gegevens te oogsten, inclusief gebruikersnamen, wachtwoorden en andere authenticatie -referenties. Volgens rapporten werd deze gestolen informatie opgeslagen in een bestand met de naam “ChrGetPdsi.txt”, dat vóór exfiltratie als een verzamelpunt diende.

Met behulp van een Ti -opzoektool van Run hebben we al in augustus 2024 ontdekt dat deze Stealer op het platform werd gedetecteerd.

Laterale beweging: het uitbreiden van de positie

Tijdens de Laterale bewegingsfaseaanvallers verspreiden zich over het netwerk om toegang te krijgen tot extra systemen en bronnen. De interlock ransomware -groep vertrouwde op legitieme externe administratietools zoals zoals Stopverf,, AnydeskEn RDPvaak gebruikt door IT -teams, maar hergebruikt voor kwaadaardige activiteiten.

Gegevens -exfiltratie: gestolen informatie extraheren

In deze laatste fase exfiltreren aanvallers gestolen gegevens uit het netwerk van het slachtoffer, vaak met behulp van cloudopslagservices. De interlock ransomware -groep, bijvoorbeeld, gebruikt Azure Cloud -opslag om gegevens over de organisatie over te dragen.

Binnen de sandbox van Any.run kunnen we zien hoe de gegevens worden verzonden naar aanvallergestuurde servers.

Hier hebben bijvoorbeeld logboeken onthuld informatie die wordt verzonden naar IP 217 (.) 148.142.19 over Poort 443 Tijdens een vergrendelingsaanval.

Proactieve bescherming tegen ransomware in de gezondheidszorg

De sector in de gezondheidszorg is een belangrijk doelwit voor ransomware -groepen zoals Interlock, met aanvallen die gevoelige patiëntgegevens in gevaar brengen, kritieke diensten verstoren en levens in gevaar brengen. Gezondheidszorgorganisaties moeten voorzichtig blijven en prioriteit geven aan cybersecurity -maatregelen om hun systemen en gegevens te beschermen.

Vroege detectie is de sleutel tot het minimaliseren van schade. Tools zoals Any.Run Sandbox stellen gezondheidszorgteams in staat om bedreigingen zoals Interlock vroeg in de aanvalsketen te identificeren, waardoor bruikbare inzichten worden geboden om datalekken te voorkomen voordat ze zich voordoen.

Met de mogelijkheid om verdachte bestanden veilig te analyseren, verborgen indicatoren van compromis (IOC’s) te ontdekken en netwerkactiviteit te bewaken, geeft Any.Run organisaties de macht om terug te vechten tegen geavanceerde bedreigingen.

Begin vandaag nog met uw gratis 14-daagse Proces en geef uw team de tools om hen te helpen ransomware-bedreigingen te stoppen voordat ze escaleren.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Play Store crasht vaak voor sommige Android -gebruikers

Alles wat u moet weten

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]