La Agencia de Seguridad de Infraestructuras de Ciberseguridad (CISA) de Estado Unidos, ha lanzado una alerta por la intensa actividad que Interlock, organización ciberdelincuente, y por el cambio en sus técnicas de ataque. 
La variante del ransomware Interlock, se identificó tras el verano de 2024 mediante los ataques realizados varias empresas e infraestructuras críticas de Europa y Estados Unidos.
Asimismo, la agencia señala que los actores obtienen acceso inicial mediante descargas no autorizadas desde sitios webs legítimos comprometidos, un método poco común entre los grupos de ransomware.
Además, las autoridades han observado que los actores utilizaban la técnica de ingeniería social ClickFix para el acceso inicial, por la cual engañan a las víctimas para que se ejecute una carga maliciosa con el pretexto de solucionar un problema en su sistema.
Click Fix, ¿qué es?
Se trata de una técnica, relativamente reciente de ingeniería social, para la distribución de malware. Los primeros casos documentados fueron en los comienzos del año 2024. Mediante ventanas emergentes simulando problemas técnicos, manipulan a la víctima para que ejecuten scripts maliciosos. Excusas como una actualización de navegador, un documento que da error al abrir, problemas con micrófono o cámara en Google Meet o Zoom, entre otras son las habituales.
La hoja de ruta del delincuente es obtener los permisos de administrador en sitios web mediante credenciales robadas. Instalan plugins falsos, que inyectan el malware. Posteriormente lanzarán el aviso de actualización, por ejemplo, lo que hará que se instale el malware en el equipo. También pueden emplear páginas falsas de CAPTCHA, tan habituales como medida de seguridad en algunas páginas.
A partir de ahí, los ciberdelincuentes acceden a credenciales y mediante movimiento lateral solo queda la propagación mediante movimiento lateral hacia otros sistemas de la red.
Mitigar Interlock en tus sistemas.
Los ataques mediante este malware conllevan una exfiltración de los datos de la compañía y el cifrado sistemático de ficheros. De este modo, pueden ejecutar una extorsión lo más eficiente posible.
Lo ideal es tener activado el cifrado de la información, pero en la mayoría de las ocasiones solo nos enfocamos en la información sensible, aunque para el negocio, todos los datos son importantes.
Hace ya más de 20 años, cuando el ransomware era algo novedoso en MICROMOUSE contamos con Northern Storage Suite, un eficiente gestor de almacenamiento, que desarrolló la capacidad de bloquear la posibilidad de “Guardar” ficheros con determinadas extensiones. Esta funcionalidad que limita, granularmente, la tipología de ficheros que cada usuario puede alojar en su carpeta o bien el permitido en cada share compartido, se ha convertido en una capa de seguridad adicional.
Esta capa consiste en bloquear el “guardado” de fichero con las extensiones ya identificadas que utilizan los distintos malware para el cifrado de los ficheros en los sistemas de las organizaciones. Además, registra y alerta cada vez que identifica los intentos de “guardado” prohibidos, proporcionando información sobre la actividad.
A modo de síntesis, Northern Storage Suite, proporciona:
- Supervisión y bloqueo, si procede, continuamente de los intentos de “guardar” los tipos de ficheros prohibidos.
- Envío de alertas al equipo de respuesta a amenazas con información sobre el intento de ataque (extensión de archivo bloqueada, cuenta utilizada, etc.).
- Informes actualizados en la consola para una identificación de patrones identificando los bloqueos realizados.
MICROMOUSE, la Ciberseguridad que necesitas.
Desde MICROMOUSE facilitamos soluciones basadas en tecnologías punteras que contribuyen y refuerzan tu Sistema de Gestión de la Seguridad de la Información (SGSI). Ponemos a tu alcance nuestros más de 40 años de experiencia en el campo tecnológico y conoce de primera mano nuestro compromiso en cada proyecto.
¿Hablamos de CIBERSEGURIDAD?