CISA và FBI cảnh báo về sự gia tăng các cuộc tấn công mã độc tống tiền Interlock

09:57 | 25/07/2025

Mới đây, các tổ chức chính phủ của Mỹ bao gồm Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cùng Cục Điều tra Liên bang (FBI), đã đưa ra cảnh báo về sự gia tăng hoạt động của mã độc tống tiền Interlock nhắm vào các doanh nghiệp và tổ chức cơ sở hạ tầng quan trọng trong các cuộc tấn công tống tiền kép.

Interlock là một nhóm mã độc tống tiền tương đối mới xuất hiện vào tháng 9/2024, kể từ đó chúng đã nhắm mục tiêu vào các nạn nhân trên toàn thế giới trong nhiều ngành công nghiệp khác nhau, đặc biệt tập trung vào lĩnh vực chăm sóc sức khỏe.

Những kẻ đe dọa này trước đây liên quan đến các cuộc tấn công ClickFix, trong đó chúng mạo danh các công cụ công nghệ thông tin để truy cập mạng ban đầu, cũng như các cuộc tấn công mã độc để triển khai trojan truy cập từ xa NodeSnake với mục tiêu là các trường đại học ở Anh.

Gần đây, nhóm tin tặc này đã nhận trách nhiệm về vụ xâm nhập DaVita, một công ty thuộc danh sách Fortune 500 về chăm sóc sức khỏe, dẫn đến việc đánh cắp và rò rỉ 1,5 TB dữ liệu từ hệ thống của họ. Bên cạnh đó là cuộc tấn công Kettering Health, một công ty chăm sóc sức khỏe lớn với hơn 15.000 nhân sự.

Trong quá trình điều tra các vụ tấn công của Interlock, FBI đã quan sát thấy các tin tặc này sử dụng chiến thuật tấn công tống tiền kép. Bản khuyến cáo chung cho biết: “FBI phát hiện những kẻ tấn công có được quyền truy cập ban đầu thông qua việc tải xuống từ các trang web hợp pháp bị xâm phạm, đây là phương pháp không phổ biến trong các nhóm mã độc tống tiền. Các tác nhân đe dọa sử dụng mô hình tống tiền kép, trong đó chúng mã hóa hệ thống sau khi đánh cắp dữ liệu, điều này làm tăng áp lực buộc nạn nhân phải trả tiền chuộc để giải mã dữ liệu và ngăn chặn dữ liệu bị rò rỉ”.

Đầu tháng này, nhóm Interlock bị phát hiện đã áp dụng kỹ thuật tấn công FileFix mới để phát tán trojan truy cập từ xa. Theo đó, FileFix là một cuộc tấn công kỹ nghệ xã hội, kẻ tấn công lợi dụng các thành phần giao diện người dùng Windows đáng tin cậy, bao gồm Windows File Explorer và HTML Applications (HTA), từ đó đánh lừa mục tiêu thực thi mã PowerShell hoặc JavaScript độc hại mà không hiển thị bất kỳ cảnh báo bảo mật nào.

Để bảo vệ mạng lưới của mình khỏi các cuộc tấn công Interlock, các tổ chức, doanh nghiệp được khuyến nghị nên triển khai bộ lọc DNS, tường lửa ứng dụng web (WAF) và đào tạo người dùng cách nhận biết các nỗ lực tấn công kỹ nghệ xã hội.

Ngoài ra, các quản trị viên nên cập nhật hệ thống, phần mềm và firmware thường xuyên để hạn chế quyền truy cập từ các thiết bị bị xâm phạm. Thiết lập chính sách quản lý danh tính, thông tin xác thực và quyền truy cập (ICAM) và yêu cầu xác thực đa yếu tố (MFA) cho tất cả các dịch vụ trong hệ thống mạng.