
Serangan ransomware telah mencapai skala yang belum pernah terjadi sebelumnya di sektor kesehatan, mengungkap kerentanan yang menempatkan jutaan dalam risiko. Baru -baru ini, UnitedHealth mengungkapkan bahwa 190 juta orang Amerika memiliki data pribadi dan perawatan kesehatan mereka yang dicuri selama serangan ransomware perubahan perawatan kesehatan, angka yang hampir menggandakan total yang sebelumnya diungkapkan.
Pelanggaran ini menunjukkan seberapa dalam ransomware dapat menyusup ke sistem kritis, meninggalkan kepercayaan pasien dan perawatan tergantung pada keseimbangan.
Salah satu kelompok yang menargetkan sektor yang sudah rapuh ini adalah grup ransomware interlock. Dikenal karena serangan mereka yang diperhitungkan dan canggih, mereka fokus pada rumah sakit, klinik, dan penyedia layanan medis lainnya.
Interlock Ransomware Group: Ancaman aktif terhadap perawatan kesehatan
Interlock Ransomware Group adalah pemain yang relatif baru tetapi berbahaya di dunia cybercrime, yang dikenal karena menggunakan taktik ekstorsi ganda.
Metode ini melibatkan mengenkripsi data korban untuk mengganggu operasi dan mengancam akan membocorkan informasi sensitif jika tuntutan tebusan tidak terpenuhi. Motivasi utama mereka adalah keuntungan finansial, dan metode mereka dirancang untuk memaksimalkan tekanan pada target mereka.
Karakteristik penting
- Kecanggihan: Grup menggunakan teknik canggih seperti phishing, pembaruan perangkat lunak palsu, dan situs web jahat untuk mendapatkan akses awal.
- Kegigihan: Kemampuan mereka untuk tetap tidak terdeteksi untuk waktu yang lama memperkuat kerusakan yang dapat mereka sebabkan.
- Penyebaran cepat: Setelah di dalam jaringan, mereka dengan cepat bergerak secara lateral, mencuri data sensitif dan menyiapkan sistem untuk enkripsi.
- Tuntutan tebusan yang disesuaikan: Grup dengan hati -hati menilai nilai data curian untuk menetapkan jumlah tebusan yang cenderung dibayar oleh para korban.
Target terbaru oleh Interlock Ransomware Group
Pada akhir 2024, Interlock menargetkan beberapa organisasi perawatan kesehatan di Amerika Serikat, mengekspos informasi pasien yang sensitif dan sangat mengganggu operasi. Korban termasuk:
- Pusat Kesehatan Lingkungan Brockton: Dilanggar pada Oktober 2024, dengan serangan yang tersisa tidak terdeteksi selama hampir dua bulan.
- Layanan Perawatan Legacy: Terdeteksi pada akhir Oktober 2024.
- Layanan Perawatan Narkoba dan Alkohol: Data yang dikompromikan ditemukan pada periode yang sama.
Rantai serangan grup ransomware interlock
Kelompok ransomware interlock memulai serangannya dengan metode strategis dan sangat menipu yang dikenal sebagai kompromi drive-by. Teknik ini memungkinkan grup untuk mendapatkan akses awal ke sistem yang ditargetkan dengan mengeksploitasi pengguna yang tidak curiga, seringkali melalui situs web phishing yang dirancang dengan cermat.
Serangan awal ransomware
Serangan dimulai ketika kelompok interlock mengkompromikan situs web sah yang ada atau mendaftarkan domain phishing baru. Situs -situs ini dibuat dengan cermat agar tampak dapat dipercaya, meniru platform kredibel seperti portal berita atau halaman unduhan perangkat lunak. Situs sering berisi tautan untuk mengunduh pembaruan atau alat palsu, yang, ketika dieksekusi, menginfeksi perangkat pengguna dengan perangkat lunak berbahaya.
Contoh: Any.Run's Interactive Sandbox mendeteksi domain yang ditandai sebagai bagian dari aktivitas Interlock, Apple-online.shop. Yang terakhir dirancang untuk menipu pengguna agar mengunduh malware yang disamarkan sebagai perangkat lunak yang sah.
Taktik ini secara efektif melewati lapisan awal kecurigaan pengguna, tetapi dengan deteksi dan analisis dini, tim SOC dapat dengan cepat mengidentifikasi domain jahat, memblokir akses, dan merespons lebih cepat terhadap ancaman yang muncul, mengurangi dampak potensial pada operasi bisnis.
Lihat sesi analisis
![]() |
Apple-online.shop ditandai sebagai bagian dari aktivitas Interlock di dalam any.run Sandbox |
Lengkapi tim Anda dengan alat untuk memerangi ancaman cyber.
Dapatkan uji coba gratis 14 hari dan analisis ancaman tanpa batas dengan any.run.
Eksekusi: Bagaimana Interlock Memperoleh Kontrol
Setelah grup ransomware interlock melanggar pertahanan awal, fase eksekusi dimulai. Pada tahap ini, penyerang menggunakan muatan berbahaya atau menjalankan perintah berbahaya pada perangkat yang dikompromikan, mengatur panggung untuk kontrol penuh atas jaringan korban.
Interlock ransomware sering menyamarkan alat berbahaya sebagai pembaruan perangkat lunak yang sah untuk menipu pengguna. Korban tanpa sadar meluncurkan pembaruan palsu, seperti yang meniru Chrome, MSteams, atau Installer Microsoft Edge, berpikir mereka melakukan pemeliharaan rutin. Sebaliknya, unduhan ini mengaktifkan alat akses jarak jauh (tikus), yang memberikan penyerang akses penuh ke sistem yang terinfeksi.
Di dalam sesi kotak pasir apa pun, salah satu pembaruan, upd_8816295.exesecara jelas diidentifikasi dalam pohon proses di sisi kanan, menunjukkan perilaku jahat dan aliran eksekusi.
![]() |
Pembaruan palsu dianalisis di dalam apa pun. Run Sandbox |
Dengan mengklik tombol Malconf di sisi kanan sesi Sandbox apa pun, kami mengungkapkan URL terenkripsi yang tersembunyi di dalam pembaruan palsu.
Analis menerima data terperinci dalam format yang jelas dan ramah pengguna, membantu perusahaan meningkatkan alur kerja respons ancaman mereka, mengurangi waktu analisis, dan mencapai hasil yang lebih cepat dan lebih efektif ketika berjuang melawan ancaman cyber.
![]() |
URL berbahaya yang didekripsi di dalam apa pun. Run Sandbox |
Kompromi akses sensitif
Langkah selanjutnya dari serangan itu adalah mencuri kredensial akses. Kredensial ini memberikan penyerang kemampuan untuk bergerak secara lateral di dalam jaringan dan lebih lanjut mengeksploitasi infrastruktur korban.
Grup Ransomware Interlock menggunakan alat pencuri khusus untuk memanen data yang sensitif, termasuk nama pengguna, kata sandi, dan kredensial otentikasi lainnya. Menurut laporan, informasi curian ini disimpan dalam file bernama “chrgetpdsi.txt”, yang berfungsi sebagai titik pengumpulan sebelum exfiltration.
Menggunakan alat pencarian Ti apa saja, kami menemukan bahwa pencuri ini terdeteksi pada platform sedini Agustus 2024.
![]() |
Interlock Stealer terdeteksi oleh any.run |
Gerakan lateral: memperluas pijakan
Selama Fase Gerakan Lateralpenyerang tersebar di seluruh jaringan untuk mengakses sistem dan sumber daya tambahan. Grup ransomware interlock mengandalkan alat administrasi jarak jauh yang sah seperti Dempul, AnydeskDan RDPsering digunakan oleh tim TI tetapi digunakan kembali untuk kegiatan jahat.
![]() |
Dempul terdeteksi di dalam apa saja |
Exfiltrasi Data: Mengekstraksi Informasi Dicuri
Pada tahap akhir ini, penyerang Exfiltrate mencuri data dari jaringan korban, sering menggunakan layanan penyimpanan cloud. Grup Ransomware Interlock, misalnya, memanfaatkan Azure Cloud Storage untuk mentransfer data di luar organisasi.
Di dalam kotak pasir apa saja kita dapat melihat bagaimana data dikirim ke server yang dikendalikan oleh penyerang.
Misalnya, di sini log mengungkapkan informasi yang dikirimkan ke IP 217[.]148.142.19 lebih Port 443 Selama serangan interlock.
![]() |
Data yang dikirim oleh tikus ke server yang dikendalikan penyerang diungkapkan oleh any.run |
Perlindungan proaktif terhadap ransomware di perawatan kesehatan
Sektor perawatan kesehatan adalah target utama untuk kelompok ransomware seperti interlock, dengan serangan yang membahayakan data pasien yang sensitif, mengganggu layanan kritis, dan membahayakan nyawa. Organisasi kesehatan harus tetap berhati -hati dan memprioritaskan langkah -langkah keamanan siber untuk melindungi sistem dan data mereka.
Deteksi dini adalah kunci untuk meminimalkan kerusakan. Alat -alat seperti apa pun. Kotak pasir Run memungkinkan tim perawatan kesehatan mengidentifikasi ancaman seperti interlock di awal rantai serangan, memberikan wawasan yang dapat ditindaklanjuti untuk mencegah pelanggaran data sebelum terjadi.
Dengan kemampuan untuk menganalisis file yang mencurigakan dengan aman, mengungkap indikator kompromi tersembunyi (IOC), dan memantau aktivitas jaringan, apa saja. Run memberi organisasi kekuatan untuk melawan balik ancaman lanjutan.
Mulailah uji coba 14-hari gratis Anda hari ini dan berikan tim Anda alat untuk membantu mereka menghentikan ancaman ransomware sebelum meningkat.