Noticias

El grupo de ransomware Interlock ha intensificado sus ataques contra empresas e infraestructuras críticas, incluyendo el sector salud. Su modus operandi se basa en el modelo de doble extorsión: primero exfiltran datos confidenciales y luego los cifran; esta presión obliga a las víctimas a pagar no solo para recuperar el acceso, sino también para evitar la exposición pública. Los vectores de ataque inicial incluyen descargas desde sitios legítimos comprometidos, y técnicas de ingeniería social como ClickFix, donde falsos CAPTCHA desencadenan cargas maliciosas. Recientemente, han integrado FileFix, una variante que explota elementos de la interfaz de Windows, como Explorer y archivos [.]HTA, para ejecutar comandos PowerShell o JavaScript sin alertas de seguridad.

• Ingrese los indicadores de compromiso validado el previo impacto en sus servicios.
• No se recomienda pagar el rescate, ya que no garantiza la recuperación.
• Implementar EDR robusto en entornos virtuales y sistemas híbridos.
• Mantener todo software, sistemas operativos y firmware actualizados; priorizar parches críticos.
• Segmentar redes para contener el movimiento lateral post-compromiso.
• Limite el acceso a cuentas con privilegios elevados y utilice principios de mínimo privilegio.
• Monitorizar conexiones salientes hacia dominios .onion u otros canales C2 sospechosos.
• Aplicar MFA en todas las conexiones VPN y cuentas de usuario para dificultar el acceso no autorizado.
• Capacitar a los empleados para reconocer intentos de phishing y otras tácticas de ingeniería social que puedan facilitar el acceso inicial.
• Limite el acceso RDP y otros protocolos de administración remota a través de firewalls y restricciones de IP.
•  Considere desactivar protocolos y servicios que no sean necesarios.
• Revisar estrategias de backup, asegurando copias offline y pruebas de recuperación periódicas.

 Ref: bleepingcomputer, CISA