美國聯邦調查局(FBI)聯合網路安全暨基礎設施安全局(CISA)、衛生及公共服務部(HHS)以及多州資訊分享與分析中心(MS-ISAC),於7月22日發布聯合安全警告,宣布Interlock勒索軟體集團的攻擊活動顯著增加,特別針對北美和歐洲的企業及關鍵基礎設施發動雙重勒索攻擊。
這份由多個聯邦機構聯合發布的警告包含了截至2025年6月最新調查所收集的入侵指標(IOC),以及針對這個日益活躍的威脅組織的完整防護措施建議。
攻擊規模與最新威脅評估
根據FBI的最新調查顯示,Interlock勒索軟體集團自2024年9月首次出現以來,攻擊活動持續升溫,調查記錄顯示其活動一直延續到2025年6月。
該組織已在全球範圍內成功攻擊多個行業的目標,特別偏好醫療保健領域,對關鍵基礎設施構成嚴重威脅。
聯邦機構特別強調,Interlock採用的攻擊手法與多數勒索軟體組織存在顯著差異,其創新的初始入侵技術和持續演進的工具庫,使其成為當前最需要關注的威脅之一。
罕見的初始入侵手法
FBI在調查中發現,Interlock組織採用了在勒索軟體攻擊中相對罕見的
「路過式下載」(drive-by downloads)技術。攻擊者會先入侵合法網站,然後在這些網站上植入惡意程式碼,將惡意軟體偽裝成知名軟體的更新程式。
受害者在瀏覽這些被入侵的合法網站時,會看到看似正常的軟體更新提示,包括Google Chrome、Microsoft Edge等主流瀏覽器的虛假更新,或是FortiClient、Cisco-Secure-Client等常見安全工具的偽造更新。這種攻擊方式的隱蔽性極高,因為用戶很難分辨這些更新提示的真偽。
除了路過式下載外,Interlock組織還大量使用
ClickFix社交工程技術。這種手法透過精心設計的虛假CAPTCHA驗證頁面,指示用戶複製特定的指令並在Windows的執行視窗中貼上執行。這些指令看起來像是正常的系統驗證步驟,實際上會在用戶的系統中執行惡意程式碼。
FBI的調查顯示,Interlock組織具備針對Windows和Linux作業系統開發加密程式的能力,特別專注於加密虛擬機器(VM),這表明其具備攻擊企業級IT環境的技術實力。
一旦成功入侵網路,該組織會部署Web Shell和Cobalt Strike等進階工具來建立持久的控制權,並在受害者的網路環境中進行橫向移動。攻擊者會系統性地收集登入憑證,包括使用者名稱、密碼,並使用鍵盤記錄程式來捕獲額外的敏感資訊。
重大攻擊事件與受害案例
近期,Interlock集團聲稱對攻擊DaVita公司負責。DaVita是一家專門從事腎臟護理的財富500強企業,此次攻擊導致高達1.5TB的敏感資料遭竊取並在暗網上洩露。這起攻擊不僅對公司營運造成嚴重影響,更可能涉及大量患者的個人健康資訊外洩。
醫療體系也成為Interlock的攻擊目標。美國Kettering Health營運超過120個門診設施,僱用超過15,000名員工,是美國重要的醫療服務提供者之一。這次攻擊再次突顯了醫療保健領域面臨的嚴峻網路安全挑戰,以及關鍵基礎設施的脆弱性。
Interlock組織採用的雙重勒索模式對受害者構成了前所未有的壓力。攻擊者不僅會加密受害者的系統和資料,同時還會在加密前竊取大量敏感資料,威脅如果不支付贖金就會公開洩露這些資料。
在成功入侵並竊取資料後,Interlock會對系統進行加密,將檔案附加上.interlock或.1nt3rlock副檔名。與許多勒索軟體組織不同的是,Interlock在初始勒索信中不會提及具體的贖金金額,而是指示受害者透過Tor瀏覽器造訪特定的.onion網站進行聯繫。該組織過往的記錄顯示,他們會嚴格執行洩露資料的威脅,這使得受害者面臨更大的支付壓力。
醫療保健領域的特殊挑戰
鑑於Interlock組織特別偏好攻擊醫療保健領域,HHS在此次聯合警告中特別強調了醫療機構面臨的獨特風險。醫療機構通常擁有大量高價值的個人健康資訊,且對系統可用性要求極高,任何系統停機都可能直接影響患者安全和醫療服務提供。
醫療機構在面對勒索軟體攻擊時往往面臨更大的壓力,因為他們必須在保護患者安全和避免支付贖金之間做出艱難選擇。這使得醫療保健領域成為勒索軟體攻擊者的理想目標,也凸顯了該領域加強網路安全防護的迫切需要。
聯邦機構的緊急防護指導
面對Interlock威脅的急劇升溫,聯邦機構提出了全面的防護建議,強調組織必須立即採取行動來保護其網路基礎設施。
- 加強初始防護措施
組織應立即部署DNS過濾和網路存取防火牆,以阻擋已知的惡意域名和可疑網站。同時,必須加強員工的安全意識訓練,特別針對識別虛假軟體更新和可疑驗證頁面的能力。由於Interlock大量使用社交工程技術,人員訓練成為防護的第一道關鍵防線。
- 系統更新與漏洞管理
建立嚴格的修補程式管理制度至關重要。組織必須確保所有作業系統、軟體和韌體都保持最新狀態,特別是優先處理已知的高風險漏洞。這包括建立自動化的漏洞掃描機制和快速修補流程,最大程度縮短攻擊者可利用的時間窗口。
- 身份與存取控制強化
實施多因素驗證(MFA)對所有可能的服務至關重要,同時需要建立更嚴格的身份和存取管理(ICAM)政策。組織應定期審查使用者權限,實施最小權限原則,並建立強密碼政策來降低憑證洩露的風險。
- 網路分割與監控
透過網路分割技術限制勒索軟體的傳播範圍是關鍵的防護策略。組織應將關鍵系統與一般網路環境隔離,建立清楚的網路邊界和存取控制機制,防止攻擊者在網路內部進行橫向移動並擴大攻擊範圍。
- 備份與災難復原準備
維護多重、離線且不可變更的關鍵資料備份是對抗勒索軟體攻擊的最後防線。組織需要建立完善的備份策略,包括定期測試備份資料的完整性和可恢復性,確保在遭受攻擊時能夠快速恢復關鍵業務功能而不依賴支付贖金。
- 威脅情報與合作應對
此次聯邦機構發布的警告包含了從最新調查中收集的詳細入侵指標,協助網路防護人員識別和防範Interlock勒索軟體的攻擊活動。這些指標涵蓋已知的惡意檔案特徵、網路通訊模式以及攻擊者常用的工具和技術簽名。
作為持續進行的#StopRansomware倡議的一部分,相關機構持續提供免費的防護資源和工具,包括最佳實務指南、技術諮詢服務以及威脅情報分享平台,為各規模的組織提供實用的安全防護支援。
持續威脅評估
聯邦機構的分析顯示,Interlock組織展現出的技術創新能力和攻擊手法多樣化,使其成為當前網路安全領域最需要關注的威脅之一。從傳統的網路釣魚攻擊轉向路過式下載和進階社交工程技術,顯示勒索軟體組織正在不斷適應和突破現有的防護措施。
隨著Interlock組織攻擊活動的持續升溫,預期將有更多組織可能成為其攻擊目標。聯邦機構呼籲所有組織,特別是關鍵基礎設施營運者,必須立即評估其網路安全態勢,實施建議的防護措施,並建立快速回應和復原能力。