Bedrijven, vitale infrastructuur en andere organisaties in zowel Europa als de Verenigde Staten zijn slachtoffer van ransomware geworden doordat medewerkers fake browser-updates installeerden en zogenaamde captcha's oplosten, aldus de FBI en het Amerikaanse cyberagentschap CISA in een waarschuwing. De aanvallers achter de Interlock-ransomware hebben het voorzien op zowel Linux- als Windowssystemen.

Volgens de Amerikaanse opsporingsdienst maakt de Interlock-groep gebruik van methodes die niet typisch voor ransomwaregroepen zijn. Zo krijgen bezoekers van legitieme, gecompromitteerde websites fake updates voor Google Chrome en Microsoft Edge aangeboden. Securitybedrijf Sekoia stelt dat er ook zogenaamde updates voor beveiligingsoplossingen worden aangeboden, zoals FortiClient, Ivanti Secure Access, Cisco Webex, Cisco AnyConnect VPN en Palo Alto Networks GlobalProtect.

Daarnaast maken de aanvallers ook gebruik van een social engineering techniek genaamd "ClickFix". Hierbij krijgen internetgebruikers een zogenaamde captcha te zien. De instructies voor het oplossen van de "captcha" komen erop neer dat er een PowerShell-commando moet worden uitgevoerd dat tot de installatie van malware leidt. Volgens de FBI gaat de Interlock-groep opportunistisch te werk en is financieel gemotiveerd. Naast het versleutelen van bestanden steelt de groep ook bestanden om organisaties mee af te persen als ze geen losgeld betalen.

In de vandaag verschenen waarschuwing voor de Interlock-ransomware geeft de FBI verschillende technische details, zoals gebruikte tools en bestanden. Daarnaast worden verschillende adviezen gegeven om ransomware te voorkomen. Het gaat onder andere om het toepassen van dns-filtering, trainen van personeel om social engineering te herkennen, het tijdig verhelpen van kwetsbaarheden, toepassen van netwerksegmentatie en het verplichten van multifactorauthenticatie waar mogelijk.