Gli attacchi di ransomware hanno raggiunto una scala senza precedenti nel settore sanitario, esponendo vulnerabilità che mettono a rischio milioni. Di recente, UnitedHealth ha rivelato che 190 milioni di americani hanno avuto i loro dati personali e sanitari rubati durante il cambiamento di attacco di ransomware sanitario, una cifra che raddoppia quasi il totale precedentemente divulgato.
Questa violazione mostra quanto profondamente i ransomware possano infiltrarsi nei sistemi critici, lasciando la fiducia e le remedy in bilico.
Uno dei gruppi che si rivolge a questo settore già fragile è il gruppo di ransomware di interblocco. Conosciuti per i loro attacchi calcolati e sofisticati, si concentrano su ospedali, cliniche e altri fornitori di servizi medici.
Gruppo Ransomware Interlock: una minaccia attiva per l’assistenza sanitaria
Il gruppo Ransomware Interlock è un giocatore relativamente recente ma pericoloso nel mondo del crimine informatico, noto per aver impiegato tattiche a doppia estorsione.
Questo metodo prevede la crittografia dei dati di una vittima per interrompere le operazioni e minaccia di perdere informazioni sensibili se le richieste di riscatto non sono soddisfatte. La loro motivazione principale è il guadagno finanziario e i loro metodi sono adattati per massimizzare la pressione sui loro obiettivi.
Caratteristiche notevoli
- Raffinatezza: Il gruppo utilizza tecniche avanzate come phishing, aggiornamenti software program falsi e siti Internet dannosi per ottenere l’accesso iniziale.
- Persistenza: La loro capacità di rimanere non rilevata per lunghi periodi amplifica il danno che possono causare.
- SPEGNIMENTO RAPIDO: Una volta all’interno di una rete, si spostano rapidamente lateralmente, rubando dati sensibili e preparando sistemi per la crittografia.
- Richieste di riscatto su misura: Il gruppo valuta attentamente il valore dei dati rubati per impostare gli importi di riscatto che le vittime probabilmente pagheranno.
Obiettivi recenti di Interlock Ransomware Group
Alla high-quality del 2024, Interlock ha preso di mira molteplici organizzazioni sanitarie negli Stati Uniti, esponendo informazioni sensibili al paziente e interrompendo gravemente le operazioni. Vittime incluse:
- Centro sanitario del quartiere Brockton: Violato nell’ottobre 2024, con l’attacco che rimane inosservato per quasi due mesi.
- Servizi di trattamento legacy: Rilevato alla high-quality di ottobre 2024.
- Servizio di trattamento di droghe e alcol: Dati compromessi scoperti nello stesso periodo.
Interlock Ransomware Group Assault Chain
Il gruppo Ransomware Interlock inizia il suo attacco con un metodo strategico e altamente ingannevole noto come compromesso drive-by. Questa tecnica consente al gruppo di ottenere l’accesso iniziale ai sistemi mirati sfruttando gli utenti ignari, spesso attraverso siti Internet di phishing attentamente progettati.
Attacco iniziale del ransomware
L’attacco inizia quando il gruppo di interblocco compromette un sito Internet legittimo esistente o registra un nuovo dominio di phishing. Questi siti sono accuratamente realizzati per apparire affidabili e imitando piattaforme credibili come le pagine di obtain di notizie o software program. I siti contengono spesso collegamenti per scaricare aggiornamenti o strumenti falsi, che, quando eseguiti, infettano il dispositivo dell’utente con software program dannoso.
Esempio: La sandbox interattiva di Any.Run ha rilevato un dominio contrassegnato come parte dell’attività di Interlock, Apple-On-line.store. Quest’ultimo è stato progettato per indurre gli utenti a scaricare malware mascherato da software program legittimo.
Questa tattica aggira efficacemente lo strato iniziale del sospetto dell’utente, ma con la diagnosi precoce e l’analisi, i group SOC possono identificare rapidamente domini dannosi, bloccare l’accesso e rispondere più velocemente alle minacce emergenti, riducendo il potenziale impatto sulle operazioni aziendali.
Visualizza la sessione di analisi
 |
| Apple-On-line.store contrassegnata come parte dell’attività di Interlock all’interno di Any.Run Sandbox |
Equipaggia il tuo group gli strumenti per combattere le minacce informatiche.
Ottieni una prova gratuita di 14 giorni e analizzare le minacce illimitate con qualsiasi.run.
Esecuzione: come l’interblocco ottiene il controllo
Una volta che il gruppo di ransomware di interblocco viola le difese iniziali, inizia la fase di esecuzione. In questa fase, gli aggressori distribuiscono payload dannosi o eseguono comandi dannosi su dispositivi compromessi, preparando il palcoscenico per il pieno controllo sulla rete della vittima.
Interlock Ransomware spesso maschera i suoi strumenti dannosi come legittimi aggiornamenti software program per ingannare gli utenti. Le vittime lanciano inconsapevolmente gli aggiornatori falsi, come quelli che imitano Chrome, MSteams o Microsoft Edge, pensando di eseguire manutenzione di routine. Invece, questi obtain attivano strumenti di accesso remoto (ratti), che concedono agli aggressori l’accesso pieno al sistema infetto.
All’interno di Any.Run’s Sandbox Session, uno degli aggiornatori, up update_8816295.exeè chiaramente identificato all’interno dell’albero di processo sul lato destro, mostrando il suo comportamento dannoso e il flusso di esecuzione.
 |
| Aggiornatore falso analizzato all’interno di Any.Run Sandbox |
Facendo clic sul pulsante Malconf sul lato destro della sessione Sandbox Any.Run, riveliamo l’URL crittografato nascosto all’interno del falso aggiornamento.
Gli analisti ricevono dati dettagliati in un formato chiaro e intuitivo, aiutando le aziende a migliorare i flussi di lavoro di risposta alle minacce, ridurre i tempi di analisi e ottenere risultati più rapidi ed efficaci quando si combattono contro le minacce informatiche.
 |
| URL malizioso decrittografato all’interno di qualsiasi Sandbox. |
Compromettendo l’accesso sensibile
Il prossimo passo dell’attacco è rubare le credenziali di accesso. Queste credenziali concedono agli aggressori la capacità di spostarsi lateralmente all’interno della rete e sfruttare ulteriormente le infrastrutture della vittima.
Il gruppo Ransomware Interlock ha utilizzato uno strumento di furto personalizzato per raccogliere dati sensibili, inclusi nomi utente, password e altre credenziali di autenticazione. Secondo i rapporti, queste informazioni rubate sono state archiviate in un file denominato “Chrgetpdsi.txt”, che è stato un punto di raccolta prima dell’esfiltrazione.
Usando lo strumento di ricerca TI di Any.Run, abbiamo scoperto che questo furto è stato rilevato sulla piattaforma già nell’agosto 2024.
 |
| Interlock Stealer rilevato da Any.run |
Movimento laterale: espandere il punto d’appoggio
Durante il Fase di movimento lateralegli aggressori si sono diffusi in rete per accedere a sistemi e risorse aggiuntivi. Il gruppo Ransomware Interlock si basava su strumenti di amministrazione remoto legittimi come Stucco, AnydeskE RDPspesso utilizzato dai group IT ma riproposti per attività dannose.
 |
| PUTTY rilevato all’interno di qualsiasi.run |
Exfiltrazione di dati: estrazione di informazioni rubate
In questa fase finale, gli aggressori exfiltrate hanno rubato dati fuori dalla rete della vittima, spesso utilizzando i servizi di archiviazione cloud. Il gruppo Ransomware interlocco, advert esempio, ha sfruttato l’archiviazione cloud di Azure per trasferire i dati al di fuori dell’organizzazione.
All’interno di Any.Run Sandbox possiamo vedere come vengono inviati i dati ai server controllati dagli attaccanti.
Advert esempio, qui i registri hanno rivelato le informazioni trasmesse a IP 217 (.) 148.142.19 Sopra Porta 443 Durante un attacco di interblocco.
 |
| Dati inviati dal ratto ai server controllati dagli attaccanti rivelati da qualsiasi.run |
Protezione proattiva contro il ransomware in sanità
Il settore sanitario è un obiettivo primario per gruppi di ransomware come Interlock, con attacchi che mettono a repentaglio i dati sensibili dei pazienti, interrompono i servizi critici e mettono a rischio la vita. Le organizzazioni sanitarie devono rimanere caute e dare priorità alle misure di sicurezza informatica per proteggere i loro sistemi e dati.
Il rilevamento precoce è la chiave per ridurre al minimo i danni. Strumenti come qualsiasi Sandbox. Run Sandbox consentono ai group sanitari di identificare minacce come l’interblocco all’inizio della catena di attacco, fornendo approfondimenti fruibili per prevenire le violazioni dei dati prima che si verifichino.
Con la capacità di analizzare in sicurezza i file sospetti, scoprire indicatori nascosti di compromesso (IOC) e monitorare l’attività della rete, qualsiasi.Run offre alle organizzazioni il potere di combattere contro minacce avanzate.
Inizia la tua prova gratuita di 14 giorni. Oggi e dai al tuo group gli strumenti per aiutarli a fermare le minacce ransomware prima di intensificare.
