เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง
Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า:
- กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux
- เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ
เทคนิคที่ใช้มีความแปลกใหม่ เช่น:
- “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client
- “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ
เมื่อเข้าระบบได้แล้ว Interlock จะ:
- ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ
- ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์
- เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock
- ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน
- ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง
FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น:
- ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย
- อัปเดตระบบและซอฟต์แวร์ทั้งหมด
- ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด
- แบ่งเครือข่ายเพื่อลดการแพร่กระจาย
- สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup)
FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ
ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล
Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM
ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix
ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง
เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ
หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล
รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์
ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock
โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor
หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable
พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware
https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/
Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า:
- กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux
- เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ
เทคนิคที่ใช้มีความแปลกใหม่ เช่น:
- “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client
- “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ
เมื่อเข้าระบบได้แล้ว Interlock จะ:
- ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ
- ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์
- เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock
- ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน
- ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง
FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น:
- ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย
- อัปเดตระบบและซอฟต์แวร์ทั้งหมด
- ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด
- แบ่งเครือข่ายเพื่อลดการแพร่กระจาย
- สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup)
FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ
ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล
Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM
ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix
ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง
เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ
หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล
รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์
ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock
โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor
หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable
พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware
https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/
🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง
Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า:
- กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux
- เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ
เทคนิคที่ใช้มีความแปลกใหม่ เช่น:
- “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client
- “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ
เมื่อเข้าระบบได้แล้ว Interlock จะ:
- ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ
- ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์
- เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock
- ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน
- ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง
FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น:
- ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย
- อัปเดตระบบและซอฟต์แวร์ทั้งหมด
- ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด
- แบ่งเครือข่ายเพื่อลดการแพร่กระจาย
- สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup)
✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ
➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล
✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM
➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix
✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง
➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ
✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล
➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์
✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock
➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor
✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable
➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware
https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/
0 ความคิดเห็น
0 การแบ่งปัน
115 มุมมอง
0 รีวิว
English