- Los privilegios permanentes se pueden minimizar utilizando el principio de confianza cero.
- Los servidores críticos se pueden proteger habilitando el acceso justo a tiempo
- Las cárceles de FreeBSD pueden ayudar a aislar cargas de trabajo y mejorar la protección
Se ha observado que un grupo de ransomware descubierto recientemente se dirige a organizaciones centradas en servidores FreeBSD.
Lanzada a finales de septiembre de 2024, la operación adopta un enfoque único, utilizando un cifrado diseñado específicamente para FreeBSD.
Interlock ya ha reivindicado ataques contra seis organizaciones, incluido el condado de Wayne, Michigan, que sufrió un ciberataque en octubre de 2024.
El cifrado FreeBSD de Interlock lo distingue
La información inicial sobre Interlock provino de profesionales de la ciberseguridad. Simón y MalwareHunterEquipoquien analizó muestras del ransomware.
El método de ataque de Interlock incluye irrumpir en redes corporativas, robar datos, propagarse lateralmente a otros dispositivos y cifrar archivos. Los atacantes utilizan tácticas de doble extorsión y amenazas para filtrar datos robados a menos que se paguen demandas de rescate, que van desde cientos de miles hasta millones de dólares.
A diferencia de otros grupos de ransomware que normalmente apuntan a servidores VMware ESXi basados en Linux, el enfoque de Interlock en los cifrados FreeBSD lo hace particularmente único. El uso extensivo de FreeBSD de infraestructura y servidores críticos lo convierte en un objetivo principal para interrumpir servicios esenciales y presionar a las víctimas para que paguen un rescate significativo.
FreeBSD Encrypted fue compilado específicamente para FreeBSD 10.4 y es un ejecutable ELF de 64 bits. Sin embargo, probar la muestra en máquinas virtuales Linux y FreeBSD resultó desafiante, ya que no pudo ejecutarse correctamente en entornos controlados.
Sin embargo, los investigadores de Trend Micro descubrieron muestras adicionales de cifrado FreeBSD, lo que confirma su funcionalidad. Destacaron la elección estratégica de FreeBSD y enfatizaron su prevalencia en sistemas críticos, donde los ataques pueden causar interrupciones generalizadas.
Si bien la versión FreeBSD presentó desafíos durante el análisis, Windows Encryptor de Interlock funciona de manera efectiva. Borra los registros de eventos y, si está configurado, usa rundll32.exe para eliminar su binario después de la ejecución. El ransomware agrega una extensión “.interlock” a los archivos cifrados y crea notas de rescate llamadas “!README!.txt” en las carpetas afectadas.
Estas notas proporcionan información básica sobre el cifrado, las amenazas y los enlaces a sitios de negociación y fuga de datos basados en Tor. Cada víctima recibe una “identificación de empresa” única para comunicarse con los atacantes a través de un sistema de chat.
Ilya Sotnikov, estratega de seguridad de Netwrix, aconseja a las organizaciones implementar medidas de seguridad de múltiples capas, incluidos firewalls de redes y aplicaciones web, sistemas de detección de intrusos y defensas contra phishing para evitar infracciones iniciales.
“El grupo de ransomware Interlock ha estado atacando recientemente organizaciones de todo el mundo, adoptando un enfoque inusual al crear cifrado para atacar servidores FreeBSD. El sistema operativo FreeBSD es conocido por su confiabilidad y, por lo tanto, se usa comúnmente para funciones críticas. Los ejemplos incluyen alojamiento web, correo servidores y sistemas de almacenamiento, todos ellos con fines de lucro. Para los atacantes, dependiendo de la función y la configuración, el servidor puede o no estar conectado directamente a Internet”, dijo Sotnikov.
“Los equipos de seguridad necesitan invertir en defensa en profundidad, para interrumpir un ataque potencial desde el principio, complicar cualquier paso adicional para el atacante e identificar la actividad potencialmente dañina lo más rápido posible con herramientas de monitoreo… Dado que es probable que el adversario acceda “Los permisos son duraderos implementando el principio de confianza cero, que permite al usuario sólo los permisos necesarios para realizar sus tareas”, añadió Sotnikov.
a través de pitidocomputadora
