記事本文(要約)
インターロックランサムウェアグループは、ITツールを装って企業ネットワークに侵入し、ファイルを暗号化するマルウェアを展開するために「ClickFix」攻撃を使用しています。ClickFixは、被害者に誤って危険なPowerShellコマンドを実行させるためのソーシャルエンジニアリングの手法です。このグループは2024年9月に活動を開始し、FreeBSDサーバーとWindowsシステムを標的にしていますが、現在はランサムウェア・アズ・ア・サービスモデルを採用していません。2025年1月からは、ニセのCAPTCHAを利用して被害者を騙し、偽装ソフトウェアをダウンロードさせ、マルウェアをインストールしています。インターロックが使用する攻撃手段には、ランサムウェアの実行前にC2サーバーから様々なペイロードを送信することが含まれ、攻撃者は盗んだデータを暗号化する前にAzure Blobsにアップロードします。最新のランサムノートは、データ漏洩の法的側面に焦点を当てています。「ClickFix」攻撃は他の脅威者や北朝鮮のハッカーグループ「ラザルス」も採用しています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 18 Apr 2025 13:44:40 -0400
Original URL: https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-pushes-fake-it-tools-in-clickfix-attacks/
詳細な技術情報
- 脆弱性の仕組み
- この攻撃では、「ClickFix」と呼ばれるソーシャルエンジニアリング戦術を利用してユーザーを騙し、悪意のあるPowerShellコマンドを実行させる仕組みです。これにより、システム上にランサムウェアをインストールします。攻撃者は合法的に見えるが偽装されたWebサイトを使ってユーザーを引き込み、不正な操作をさせるよう仕向けます。
- 攻撃手法
- 偽Webサイトの使用: 一見合法的なWebサイトを模倣し、ユーザーを誘導。
- PowerShellスクリプト: 「Fix it」ボタンとして不正なPowerShellコマンドをクリップボードにコピー。
- CAPTCHAを用いた確認作業に偽装: 偽のCAPTCHAプロンプトでユーザーを騙し、コマンド実行させる。
- 潜在的な影響
- データの暗号化と身代金要求: ファイルが暗号化され、解読のために身代金を要求します。
- データ漏洩: データが攻撃者の管理するサーバーにアップロードされ、さらなる損害をもたらす可能性があります。
- システムの持続的妥協: 登録されたレジストリキーにより、悪意のあるプロセスが再始動時に実行され続けます。
- 推奨される対策
- 1. セキュリティ教育: 従業員に対してソーシャルエンジニアリングとフィッシングのリスクについて教育する。
- 2. ファイル拡張子とスクリプトの監視: PowerShellや他のスクリプト実行を監視し、不審な活動を即座に検出。
- 3. 二要素認証の導入: 特にRDPや他のリモートアクセスツールに対して追加の認証ステップを提供。
- 4. セキュリティソフトウェアの運用: 信頼性のあるウイルス対策ソフトウェアを使用し、リアルタイム保護と定期スキャンを実行。
- 5. ソフトウェアとシステムアップデート: 常に最新のパッチと更新を適用し、既知の脆弱性を解消。
- 6. バックアップの導入と運用: 定期的なバックアップを確保し、攻撃発生時にデータを迅速に復元できるようにする。
