ФБР и CISA предупреждают о вирусе-вымогателе Interlock, нацеленном на критически важную инфраструктуру

Федеральное бюро расследований (ФБР) совместно с Агентством кибербезопасности и безопасности инфраструктуры (CISA), Министерством здравоохранения и социальных служб (HHS) и Межгосударственным центром обмена и анализа информации (MS-ISAC) выпустило предупреждение в связи с возросшей активностью группы вирусов-вымогателей Interlock .

Эта финансово мотивированная угроза нацелена на широкий круг организаций, включая предприятия и жизненно важные объекты инфраструктуры по всей Северной Америке и Европе, используя опасную модель двойного вымогательства для максимального давления на жертв.

Программа-вымогатель Interlock была впервые обнаружена в конце сентября 2024 года, а расследования ФБР, проведенные в июне 2025 года, подробно описали изменение тактики её действий . Группа разрабатывает шифровальщики для операционных систем Windows и Linux, уделяя особое внимание шифрованию виртуальных машин (ВМ). Отчёты из открытых источников также указывают на сходство между Interlock и вариантом программы-вымогателя Rhysida .

Эта группа выделяется своими методами первоначального доступа, которые отличаются от методов многих групп программ-вымогателей. Один из замеченных методов включает в себя «потайные загрузки» с легитимных, но взломанных веб-сайтов, где вредоносное ПО маскируется под поддельные обновления для популярных веб-браузеров, таких как Google Chrome или Microsoft Edge, или даже распространённых инструментов безопасности, таких как FortiClient или Cisco-Secure-Client.

Более того, они используют прием социальной инженерии под названием ClickFix, когда пользователей обманным путем заставляют запускать вредоносные файлы, нажимая на поддельные CAPTCHA, которые предписывают им вставлять и выполнять вредоносные команды в окне «Выполнить» своей системы.

Попав в сеть, вирус-вымогатель использует веб-шеллы и инструменты, такие как Cobalt Strike, для установления контроля, перемещения между системами и кражи конфиденциальной информации. Он собирает данные для входа в систему, включая имена пользователей и пароли, и даже использует кейлоггеры для записи нажатий клавиш.

Согласно информационному бюллетеню (PDF), после кражи данных Interlock шифрует системы, добавляя файлы с расширениями .interlock или .1nt3rlock . Затем они требуют выкуп без указания суммы в записке, предлагая жертвам связаться с ними через специальный сайт .onion в браузере Tor . Группа угрожает раскрыть украденные данные, если выкуп, обычно выплачиваемый в биткоинах, не будет выплачен, и эта угроза ими постоянно выполняется.

Для противодействия угрозе Interlock федеральные агентства призывают организации немедленно принять меры безопасности. Ключевые меры защиты включают:

• Предотвращение первоначального доступа путем использования DNS-фильтрации и брандмауэров веб-доступа, а также обучение сотрудников распознавать попытки социальной инженерии.

• Установка исправлений и обновлений для обеспечения актуальности всех операционных систем, программного обеспечения и прошивок с уделением первоочередного внимания известным уязвимостям.

• Реализация строгой аутентификации, например многофакторной аутентификации (MFA) для всех служб, где это возможно, а также более строгие политики управления идентификацией и доступом.

• Контроль сети путем сегментации сетей для ограничения распространения программ-вымогателей.

• Резервное копирование и восстановление путем сохранения нескольких автономных, неизменяемых (неподдающихся изменению) резервных копий всех критически важных данных.

Кроме того, бесплатные ресурсы доступны в рамках продолжающейся инициативы #StopRansomware .