Interlock, un gang de cybercriminels spécialisés dans l’extorsion par ransomware, a progressivement changé de mode opératoire. Selon les chercheurs de The DFIR Report et de Proofpoint, le nouveau mode opératoire des cybercriminels consiste à glisser un cheval de Troie, doté d’un module de contrôle à distance, sur le système visé.
Pour parvenir à déployer le virus, les pirates s’appuient sur une tactique de manipulation intitulée FileFix. Ce type d’attaque est une évolution de ClickFix, une stratégie pirate massivement exploitée qui repose sur la manipulation. Les pirates manipulent leurs victimes pour qu’elles exécutent elles-mêmes des actions risquées. Cela leur permet de contourner les protections et les mécanismes de sécurité. Les attaques de type ClickFix se répandent de plus en plus. Elles sont même devenues un outil clé du groupe nord-coréen Lazarus, connu pour ses vols de cryptomonnaies.
À lire aussi : Après 900 cyberattaques par ransomware, les États-Unis arrêtent un basketteur russe en France
Le nouveau modus operandi d’Interlock
Tout commence quand la victime se rend sur un site web compromis, sur lequel les pirates ont injecté un script malveillant. Il s’agit souvent d’une « seule ligne cachée dans le HTML de la page, souvent à l’insu des propriétaires ou des visiteurs du site ». Dans le cadre d’une attaque FileFix, les pirates vont tout d’abord inviter la victime à ouvrir un fichier afin de résoudre un problème technique sur l’ordinateur. Pour ouvrir ce fichier, l’utilisateur doit copier-coller un chemin de fichiers dans l’Explorateur de fichiers de Windows.
Au lieu de lancer un fichier innocent, la cible va activer une commande PowerShell ou JavaScript cachée, par le biais de l’Explorateur de fichiers de Windows. Celle-ci va déboucher sur l’exécution de commandes malveillantes sur la machine. Étant donné que les commandes sont émises depuis un logiciel de confiance, Windows ne déclenche pas d’alerte. En douce, les scripts vont lancer le téléchargement d’un cheval de Troie.
Une fois dans la machine, il va collecter des informations sensibles, qui sont transmises en cybercriminels. Les pirates vont alors réclamer une rançon. En cas de refus, ils se réservent le droit de publier les données sur le dark web. Le virus va ensuite déployer un ransomware chargé de chiffrer les fichiers stockés sur la machine. Comme la plupart des nouveaux gangs, les pirates d’Interlock s’appuient sur la double extorsion pour convaincre les entreprises de leur verser de l’argent.
À lire aussi : les pirates de Playcrypt passent à la vitesse supérieure
Interlock améliore son arsenal
La découverte d’une attaque FileFix menée par Interlock « met en évidence l’évolution continue de l’outillage du groupe et leur sophistication opérationnelle », indiquent les chercheurs. Les experts s’engagent à garder un œil sur le gang, qui a déjà une longue liste de victimes à son actif. Le groupe revendique 52 victimes depuis septembre 2024, dont les laboratoires de santé Kettering Health ou la Texas Tech University Health Sciences Center.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : DFIR
