Il Federal Bureau of Investigation (FBI), in collaborazione con CISA, il Department of Health and Human Services (HHS) e il Multi-State Information Sharing and Analysis Center (MS-ISAC), ha pubblicato un nuovo Cybersecurity Advisory per segnalare la crescente minaccia rappresentata dal ransomware Interlock.

Questa nuova famiglia, apparsa per la prima volta nel 2024, prende di mira in particolare macchine virtuali (VM) su sistemi Windows e Linux, colpendo aziende e infrastrutture critiche sia in Nord America che in Europa.

🧬 Caratteristiche di Interlock

Gli attacchi attribuiti a Interlock seguono un modello classico ma evoluto di ransomware:

  • Doppia estorsione: esfiltrazione dei dati sensibili seguita da cifratura dei sistemi, con richiesta di riscatto per evitare la pubblicazione dei dati rubati.
  • Target: ambienti virtualizzati (VM), sia in cloud che on-premise, incluse infrastrutture sanitarie e industriali.
  • Sistemi colpiti: Windows, Linux e anche sistemi basati su FreeBSD.

🛠 Tecniche e vettori d’attacco

🎯 Accesso iniziale

Gli attori malevoli utilizzano:

  • Drive-by download da siti web legittimi compromessi.
  • Falsi aggiornamenti browser, ora camuffati anche da strumenti di sicurezza.
  • Tecnica “ClickFix”: l’utente è ingannato nel copiare e incollare manualmente uno script PowerShell codificato in Base64, con la falsa promessa di “risolvere un problema”.

Queste tecniche sono già note in campagne come Lumma Stealer e DarkGate.

⚙️ Esecuzione e persistenza

Una volta ottenuto l’accesso, il gruppo:

  • Installa RAT PowerShell persistenti nella cartella “Startup” o modifica il registro di sistema.
  • Esegue payload usando rundll32.exe su Windows o ELF binaries su Linux.

🕹 Command and Control

Le comunicazioni con i server C2 avvengono attraverso strumenti noti come:

  • Cobalt Strike
  • SystemBC
  • Interlock RAT
  • NodeSnake RAT (osservato dal marzo 2025)

🔐 Escalation dei privilegi e movimento laterale

L’obiettivo è l’acquisizione di credenziali:

  • Con tool come Lumma Stealer, Berserk Stealer e keylogger.
  • Lateralizzazione con RDP, AnyDesk, e PuTTY.
  • Tentativi di compromissione di account con privilegi elevati (incluso Kerberoasting).

📤 Esfiltrazione dei dati

I file vengono esfiltrati usando:

  • Azure Storage Explorer e AzCopy.
  • WinSCP e altri strumenti di trasferimento file.

💣 Cifratura

  • Payload: file conhost.exe (Windows) o ELF auto-cancellanti (Linux).
  • Estensioni aggiunte: .interlock o .1nt3rlock.
  • Ransom note: !__README__!.txt, distribuita via GPO.

✅ Raccomandazioni di difesa

Per mitigare il rischio, il CS Advisory raccomanda:

  1. DNS filtering e Web Application Firewall per bloccare l’accesso iniziale.
  2. Formazione del personale contro l’ingegneria sociale (es. ClickFix).
  3. Patch e aggiornamenti regolari su OS, applicazioni e firmware.
  4. Segmentazione della rete interna per limitare la propagazione.
  5. Gestione delle identità e MFA obbligatoria su tutti i sistemi critici.

Vuoi approfondire queste raccomandazione? Scorri in basso!

📄 Documento ufficiale

Il documento completo è disponibile qui:
👉 Cybersecurity Advisory – Interlock Ransomware (PDF)

🔐 Considerazioni finali

Interlock è un esempio concreto dell’evoluzione continua delle minacce ransomware, sempre più sofisticate e specializzate. Investire in un modello di sicurezza proattivo, nella visibilità dei sistemi e nella formazione del personale è oggi più che mai fondamentale.

Il team Findata supporta le aziende nel rafforzamento delle difese informatiche con approcci conformi a NIS2, ISO 27001, e altre best practice internazionali. Contattaci per una valutazione del tuo livello di esposizione.

🔐 Raccomandazioni di difesa – Approfondimento

1. 🧭 DNS Filtering e Web Application Firewall (WAF)

Obiettivo: impedire che il malware comunichi con server C2 o scarichi payload da siti compromessi.

  • DNS filtering blocca la risoluzione di nomi di dominio associati a minacce note (es. domini di phishing o C2).
    Esempio: utilizzo di servizi come Quad9, Cisco Umbrella, NextDNS, o integrazione con soluzioni SIEM per correlare attività DNS sospette.
  • Web Application Firewall (WAF) filtra il traffico HTTP/S per identificare exploit, SQL injection, upload di file malevoli o comandi anomali.
    Esempio: configurare AWS WAF o Cloudflare WAF per bloccare richieste sospette verso applicazioni esposte su internet.

Best practice: integrare il WAF con sistemi di threat intelligence per aggiornamenti automatici delle regole di blocco.

2. 👨‍🏫 Formazione del personale contro l’ingegneria sociale (ClickFix, phishing, fake updates)

Obiettivo: ridurre drasticamente la superficie di attacco legata all’errore umano.

  • Simulazioni regolari di phishing con piattaforme come KnowBe4, Cofense, o strumenti open-source.
  • Sensibilizzazione specifica su “ClickFix”: campagne che mostrano esempi concreti di CAPTCHA finti e script PowerShell.
  • Policy anti-download non autorizzati: disabilitare esecuzione script da browser e limitare l’uso del copia/incolla di comandi da fonti esterne.

Suggerimento operativo: tracciare i KPI formativi con dashboard per monitorare la percentuale di utenti vulnerabili.

3. 🔄 Patch e aggiornamenti regolari su OS, software, firmware

Obiettivo: ridurre le vulnerabilità note che Interlock (e altri ransomware) sfruttano per ottenere l’accesso o persistere nei sistemi.

  • Implementare una patch management policy con cicli regolari (es. settimanali per patch critiche).
  • Utilizzare strumenti centralizzati (es. WSUS, Microsoft Intune, Ansible, Tanium, PDQ Deploy) per automatizzare gli aggiornamenti.
  • Non trascurare il firmware di dispositivi di rete, endpoint e hypervisor (es. patch su VMware, Proxmox, Ubiquiti, Fortinet).

Criticità frequente: i sistemi OT/ICS sono spesso esclusi dal ciclo di patching. Occorre gestirli con strategie alternative come virtual patching o segmentazione forte.

4. 🧱 Segmentazione della rete interna

Obiettivo: impedire che un’infezione su un singolo nodo comprometta l’intera infrastruttura.

  • Creare VLAN distinte per server, endpoint, dispositivi IoT, e ambienti di sviluppo/test.
  • Implementare firewall interni con regole di accesso minime (principio del least privilege).
  • Monitoraggio East-West traffic: l’uso di NDR (Network Detection & Response) consente di identificare movimenti laterali sospetti.

Esempio pratico: una VM compromessa non dovrebbe poter accedere a un Domain Controller o a una macchina con database aziendali critici.

5. 🧾 Gestione delle identità e MFA obbligatoria

Obiettivo: prevenire l’abuso di credenziali e l’accesso non autorizzato anche in caso di furto password.

  • Multi-Factor Authentication (MFA) su tutti gli accessi critici: VPN, RDP, SSH, portali cloud, accesso amministrativo.
    Preferire MFA con app (es. Microsoft Authenticator, Duo), non solo SMS.
  • Password Policy robuste: lunghezza minima 12+ caratteri, impossibilità di riuso password, e disabilitazione account inattivi.
  • Implementazione di PAM (Privileged Access Management): per tracciare, isolare e limitare l’uso di credenziali privilegiate (es. CyberArk, HashiCorp Vault, BeyondTrust).
  • Monitoraggio accessi sospetti: uso di UEBA (User and Entity Behavior Analytics) per identificare anomalie nei login o escalation non autorizzate.

Leave a Reply