ransomware

Как Interlock атакует ИТ-специалистов

Как злоумышленники при помощи ClickFix и поддельной CAPTCHA пытаются атаковать ИТ-специалистов, ищущих популярный сетевой сканер.

Alanna Titterington
14 мая 2025

Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.

Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.

Как Interlock использует ClickFix для распространения вредоносного ПО

Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.

При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).

Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.

На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.

В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.

От сбора данных до вымогательства — этапы атаки Interlock

После загрузки поддельного установщика активируется PowerShell-скрипт, который собирает информацию о системе и отправляет ее на командный сервер. В ответ сервер может либо завершить работу скрипта, отправив команду ooff, либо прислать дополнительное вредоносное ПО. В ходе кампании, описанной исследователями из Secoia, в качестве полезной нагрузки использовался троян удаленного доступа (Interlock RAT). Зловред сохраняется в папке %AppData% и запускается автоматически, позволяя злоумышленникам получить доступ к конфиденциальной информации и закрепиться в системе.

После первоначального проникновения операторы Interlock используют украденные учетные данные и протокол удаленного рабочего стола (RDP) для эскалации привилегий внутри инфраструктуры. Основной целью преступников является контроллер домена (Domain Controller, DC) — доступ к нему позволяет атакующим получить контроль над всей инфраструктурой аутентификации и контроля доступа к ресурсам в данном домене.

Последним этапом перед запуском шифровальщика становится кража ценных данных, принадлежащих организации — файлы загружаются в управляемое злоумышленниками хранилище Azure Blob Storage. После успешного вывода конфиденциальных данных из корпоративной сети жертвы операторы Interlock размещают их на новом домене в сети Tor. Ссылка на этот домен публикуется в каждом посте, посвященном новой жертве, на «луковом» сайте группировки.

Записка с требованием выкупа от вымогателей Interlock

Пример записки с требованием выкупа, которую присылает жертве ransomware-группировка Interlock. Источник

Как защититься от атак с использованием техники ClickFix

Поэтому все защитные меры в случае атак, основанных на социальной инженерии, должны быть системными и прежде всего направлены на повышение осведомленности сотрудников. С этим поможет наша образовательная платформа Kaspersky Automated Security Awareness Platform , позволяющая автоматизировать процесс обучения.

Помимо этого, для защиты от ransomware-атак мы рекомендуем следующее:

Используйте надежную защиту на всех корпоративных устройствах.
Отслеживайте подозрительную активность в сети компании с помощью решения класса XDR.
В случае нехватки ресурсов или квалификации внутренней ИБ-службы организации, воспользуйтесь услугами внешнего сервиса для поиска угроз и оперативного реагирования на них.

Как рассылают фишинг с адреса no-reply@accounts.google.com

Письмо от Google: ваш аккаунт интересует правоохранительные органы

Мошенники используют сервисы Google, чтобы рассылать от имени accounts.google.com фейковые уведомления о запросах правоохранительных органов.

Безопасность детей и защита приватности

Как Interlock атакует ИТ-специалистов

Как Interlock использует ClickFix для распространения вредоносного ПО

От сбора данных до вымогательства — этапы атаки Interlock

Как защититься от атак с использованием техники ClickFix

Пять новых причин не платить вымогателям

Атака вымогателей через IP-камеру: как такого не допустить

Письмо от Google: ваш аккаунт интересует правоохранительные органы

Советы

Пять новых причин не платить вымогателям

Фиолетовые ссылки: от удобства — к угрозе приватности

Переход на Zero Trust: практика и подводные камни

Мошенничество с ботом «Почты России» в Telegram

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия