Заходят как свои — ломают как враги. Новый вымогатель под маской Windows

В США зафиксирована волна атак, в которых задействована группировка Interlock, использующая тактику двойного вымогательства против компаний и объектов критической инфраструктуры. Об этом предупредили Агентство по кибербезопасности и инфраструктурной безопасности США ( CISA ) и ФБР в совместном уведомлении, составленном также при участии Министерства здравоохранения и социальных служб ( HHS ) и Межгосударственного центра обмена информацией и анализа ( MS-ISAC ).

В докладе приведены свежие индикаторы компрометации ( IOC ), зафиксированные в ходе расследований инцидентов, включая те, что произошли в июне 2025 года. Помимо технических признаков вторжений, в документе описаны актуальные методы, применяемые злоумышленниками, и предложены конкретные рекомендации по защите от их деятельности.

Группировка Interlock действует сравнительно недавно — первые атаки были зарегистрированы в сентябре 2024 года. За это время она успела выйти за рамки одной страны и поразить организации в различных отраслях по всему миру. Особенно сильно пострадал сектор здравоохранения — вероятно, из-за его высокой зависимости от непрерывной работы цифровых систем.

Ранее Interlock связывали с атаками ClickFix , в которых хакеры маскировались под легитимные ИТ-инструменты для получения начального доступа к корпоративным сетям. Также были случаи использования ими вредоносного программного обеспечения NodeSnake, внедрённого в ИТ-сети университетов Великобритании.

Среди последних целей группировки оказались крупные американские медицинские учреждения. В частности, пострадала компания DaVita, специализирующаяся на лечении почек и входящая в список Fortune 500. Злоумышленники заявили о краже и публикации 1,5 терабайта данных из её информационных систем. Кроме того, объектом атаки стал многопрофильный медицинский холдинг Kettering Health, включающий более 120 амбулаторных учреждений и штат численностью свыше 15 тысяч человек.

ФБР сообщило о нестандартных приёмах, используемых Interlock. По данным ведомства, в некоторых случаях вредоносные программы загружались при помощи «drive-by» атак — через заражённые, но формально легитимные веб-сайты. Такой способ распространения довольно редко применяется другими группами, занимающимися вымогательским софтом.

Основная схема действий Interlock — двойной вымогательский механизм. Сначала с инфицированных систем похищаются конфиденциальные данные, затем сами файлы шифруются. Таким образом, на жертву оказывается двойное давление: выкуп требуется не только за расшифровку информации, но и за сохранение её от публичного обнародования.

В июле специалисты также зафиксировали новую тактику под названием FileFix. Она основана на социальной инженерии и включает использование доверенных интерфейсов Windows, таких как Проводник и HTA-файлы (HTML Application). С их помощью жертву убеждают запустить вредоносный скрипт на PowerShell или JavaScript — без каких-либо предупреждений системы безопасности. Это даёт атакующим удалённый доступ к целевой системе и возможность дальнейшего распространения вредоносов.

Чтобы минимизировать риски заражения и последующего шантажа, организациям рекомендуется внедрить фильтрацию DNS-запросов и использовать межсетевые экраны для веб-доступа. Также важна систематическая работа с персоналом: сотрудники должны быть обучены распознавать признаки социальной инженерии и фишинговых атак.

Техническая защита предполагает постоянное обновление всех компонентов IT-инфраструктуры — от операционных систем до прошивок оборудования. Разделение корпоративной сети на изолированные сегменты ограничит масштаб атаки в случае взлома одного из узлов.

Дополнительную устойчивость обеспечивают политики управления доступом и идентификацией (ICAM), в частности, обязательное использование многофакторной аутентификации для всех внутренних и внешних сервисов, где это возможно.