Un nuovo allarme nel panorama della cybersecurity proviene dal ransomware Interlock, che ha recentemente intensificato le sue azioni contro server operanti con FreeBSD, un sistema operativo noto per la sua robustezza e comunemente adottato in infrastrutture critiche. Dal suo esordio, segnalato a settembre 2024, il gruppo di cybercriminali ha già attaccato importanti obiettivi, causando danni rilevanti e preoccupazioni per la sicurezza dei dati.
La fenomenologia di Interlock e i suoi obiettivi
Interlock ha rapidamente guadagnato notorietà nel mondo del cybercrimine, rivendicando attacchi contro enti significativi, tra cui la Contea di Wayne in Michigan. Questo attacco, avvenuto nel mese di ottobre, ha segnato un importante passo per il gruppo, che si distingue per l’uso di un encryptor progettato su misura per FreeBSD. Questa caratteristica specifica lo rende piuttosto raro nel panorama dei ransomware, evidenziando un cambiamento nelle tecniche di attacco di questi gruppi malintenzionati.
Il ransomware si presenta con un approccio di doppia estorsione, una tendenza che sta diventando la norma in questo settore. Questo significa che gli aggressori non si limitano a criptare i file delle vittime, ma aggiungono anche la minaccia di pubblicare informazioni sensibili se non ricevono il pagamento richiesto. Gli importi richiesti possono oscillare da migliaia a milioni di euro, creando pressioni significative su enti pubblici e privati.
Attacchi e metodologie di infiltrazione
I resoconti di esperti come quelli di MalwareHunterTeam rivelano che Interlock si infiltra nelle reti aziendali per rubare dati sensibili. Una volta all’interno del sistema, il ransomware modifica i file compromessi, assegnando loro l'estensione ".interlock" e generando note di riscatto formattate in un file chiamato !README!.txt. Questo documento fornisce dettagli sui pagamenti e link a piattaforme di comunicazione riservate tramite Tor, rendendo difficile il tracciamento delle operazioni.
Un aspetto particolarmente allarmante è la specificità tecnica dell’encryptor, progettato per la versione 10.4 di FreeBSD e presentato come un eseguibile ELF a 64 bit. I server che operano su FreeBSD sono frequentemente impiegati per attività critiche, quali hosting Web e gestione della posta elettronica. Pertanto, la minaccia di Interlock rappresenta un rischio tangibile per la continuità operativa di molte aziende e istituzioni.
Strategie di difesa e raccomandazioni per le organizzazioni
Per fronteggiare la minaccia crescente rappresentata da Interlock, esperti come Ilia Sotnikov, Security Strategist di Netwrix, suggeriscono l'adozione di misure di sicurezza multilivello. È fondamentale integrare sistemi di firewall e meccanismi di rilevamento delle intrusioni per proteggere le infrastrutture informatiche. Le organizzazioni sono invitate a considerare una strategia zero trust, limitando i privilegi accessibili agli utenti solo alle autorizzazioni necessarie per le loro funzioni specifiche.
Queste raccomandazioni non solo mirano a prevenire l’accesso non autorizzato ai sistemi, ma anche a garantire un effetto di mitigazione nel caso in cui un intruso riesca a penetrare la rete. La consapevolezza e la preparazione rimangono le prime linee di difesa nella lotta contro il ransomware e altre minacce cibernetiche. Implementando strategie di sicurezza solide e formative, le organizzazioni possono ridurre significativamente il rischio di attacchi futuri e proteggere i dati sensibili da furti e compromissioni.
