Cảnh báo hôm nay được soạn thảo chung với Bộ Y tế, Dịch vụ Nhân sinh (HHS), Trung tâm Chia sẻ và Phân tích Thông tin đa tiểu bang (MS-ISAC), cung cấp cho các đơn vị bảo vệ mạng các chỉ số xâm phạm (IOC) được thu thập trong quá trình điều tra các sự cố gần đây nhất là vào tháng 6 năm 2025, cùng với các biện pháp giảm thiểu rủi ro để bảo vệ mạng của họ khỏi các cuộc tấn công của nhóm ransomware này.

Interlock là một hoạt động ransomware tương đối mới xuất hiện vào tháng 9/2024 và kể từ đó đã nhắm mục tiêu vào các nạn nhân trên toàn thế giới trong nhiều lĩnh vực công nghiệp khác nhau, đặc biệt tập trung vào lĩnh vực chăm sóc sức khỏe.

Các tác nhân đe dọa trước đây cũng có liên quan đến các cuộc tấn công ClickFix (là một hình thức tấn công dựa trên kỹ thuật xã hội, lợi dụng tâm lý người dùng để phát tán mã độc), trong đó chúng mạo danh các công cụ CNTT để truy cập mạng ban đầu, cũng như các cuộc tấn công phần mềm độc hại trong đó chúng triển khai một mã độc ấn náu (trojan) truy cập từ xa có tên là NodeSnake trên mạng của các trường đại học ở Anh.

Gần đây, nhóm tội phạm mạng đã nhận trách nhiệm về vụ tấn công DaVita, một công ty thuộc danh sách Fortune 500 chuyên về chăm sóc thận, dẫn đến việc đánh cắp và rò rỉ 1,5 terabyte dữ liệu từ hệ thống của họ, cũng như vụ tấn công Kettering Health, một tập đoàn chăm sóc sức khỏe khổng lồ vận hành hơn 120 cơ sở ngoại trú và tuyển dụng hơn 15.000 nhân viên.

Trong quá trình điều tra các cuộc tấn công của nhóm này, FBI đã quan sát thấy băng nhóm Interlock sử dụng một số chiến thuật bất thường và gây áp lực lên nạn nhân bằng các cuộc tấn công tống tiền kép.

"FBI đã quan sát thấy các tác nhân có được quyền truy cập ban đầu thông qua tải xuống từ các trang web hợp pháp bị xâm nhập, đây là một phương pháp không phổ biến trong các nhóm ransomware", khuyến cáo cho biết.

"Các tác nhân Interlock sử dụng mô hình tống tiền kép, trong đó các tác nhân mã hóa hệ thống sau khi đánh cắp dữ liệu, điều này làm tăng áp lực buộc nạn nhân phải trả tiền chuộc để vừa giải mã dữ liệu vừa ngăn chặn việc rò rỉ dữ liệu".

Đầu tháng này, nhóm ransomware cũng bị phát hiện áp dụng kỹ thuật FileFix mới để phát tán phần mềm độc hại trojan truy cập từ xa (RAT). FileFix là một cuộc tấn công kỹ thuật xã hội, trong đó kẻ tấn công lợi dụng các thành phần giao diện người dùng Windows đáng tin cậy, bao gồm Windows File Explorer và Ứng dụng HTML (.HTA), để lừa mục tiêu thực thi mã PowerShell hoặc JavaScript độc hại mà không hiển thị bất kỳ cảnh báo bảo mật nào.

Để bảo vệ mạng của mình khỏi các cuộc tấn công ransomware Interlock, các nhóm bảo mật được khuyến cáo triển khai bộ lọc Hệ thống Tên miền (DNS), tường lửa truy cập web và đào tạo người dùng nhận biết các nỗ lực kỹ thuật xã hội.

Các bên bảo vệ cũng được khuyến cáo cập nhật hệ thống, phần mềm, chương trình cơ sở và phân đoạn mạng để hạn chế truy cập từ các thiết bị bị xâm phạm.

Ngoài ra, các tổ chức cần thiết lập chính sách quản lý danh tính, thông tin xác thực, truy cập (ICAM) và yêu cầu xác thực đa yếu tố (MFA) cho tất cả các dịch vụ khi có thể.

Hà Linh