Interlock

De CiberWiki

Interlock es un tipo de ransomware diseñado para cifrar los archivos de las víctimas y exigir un pago como condición para recuperarlos. Este malware afecta tanto a sistemas Windows como Linux y se caracteriza por añadir la extensión ".interlock" a los archivos afectados. Tras la encriptación, Interlock deja una nota de rescate titulada "!README!.txt", donde informa a las víctimas de que su red ha sido comprometida y que datos confidenciales han sido robados como parte de una estrategia de doble extorsión.

Este ransomware tiene como objetivo principal grandes organizaciones de sectores críticos como el gubernamental, sanitario y tecnológico, además de empresas manufactureras. Aunque su accionar no se limita a estos sectores, los ataques son oportunistas y buscan maximizar el impacto y el potencial de cobro. Las víctimas tienen 96 horas para contactar a los atacantes y cumplir sus demandas, bajo la amenaza de que sus datos serán filtrados o vendidos, generando graves daños reputacionales y financieros.

Interlock generalmente se propaga mediante técnicas de ingeniería social y phishing. En ataques documentados, utilizó un troyano de acceso remoto disfrazado de actualización falsa de Google Chrome para infiltrarse en los sistemas, seguido de un proceso de recolección de credenciales y movimientos laterales antes de ejecutar la encriptación. Este enfoque metódico y combinado lo convierte en una amenaza sofisticada y peligrosa para las entidades que no cuentan con medidas de seguridad adecuadas.

Funcionamiento

Interlock es un ransomware altamente dirigido que emplea un enfoque sofisticado para comprometer redes, cifrar datos críticos y forzar a las víctimas a pagar rescates bajo amenazas de doble extorsión. A continuación, se detalla su funcionamiento técnico, desde la infección inicial hasta la exfiltración de datos y la encriptación.


1. Vectores de Infección y Propagación

a. Método Inicial: RAT Disfrazado de Actualización Falsa

Interlock ha sido observado infiltrándose en sistemas mediante un troyano de acceso remoto (RAT) distribuido como una falsa actualización del navegador Google Chrome. Este RAT se descargaba desde un sitio web legítimo comprometido.

  • Instalación Inicial:
    • Se ejecuta una instalación legítima de Chrome como camuflaje.
    • En paralelo, scripts PowerShell incrustados ejecutan el payload malicioso, que instala herramientas adicionales como keyloggers y ladrones de credenciales.

b. Movimientos Laterales y Persistencia

  • Credenciales robadas mediante el keylogger y el ladrón de credenciales son utilizadas para acceder a sistemas críticos.
  • El malware emplea herramientas de administración remota (RDP, AnyDesk, PuTTY) para moverse lateralmente dentro de la red.

c. Exfiltración de Datos Previos al Cifrado

  • Antes de ejecutar la encriptación, Interlock recopila datos confidenciales, como copias de seguridad, documentos legales, financieros y personales.
  • Estos datos son exfiltrados a servidores controlados por los atacantes para ser usados en la fase de doble extorsión.

2. Proceso de Cifrado

a. Identificación de Archivos

Interlock escanea el sistema en busca de archivos de interés, excluyendo aquellos necesarios para el funcionamiento del sistema operativo.

  • Extensiones comunes cifradas: Documentos (.docx, .xlsx), imágenes (.jpg, .png), bases de datos (.sql), entre otros.

b. Algoritmo de Cifrado

  • Utiliza un algoritmo de cifrado asimétrico o una combinación de cifrado simétrico y asimétrico para asegurar la encriptación de archivos:
    • Clave simétrica: Generada para cifrar archivos rápidamente.
    • Clave asimétrica (RSA): Utilizada para cifrar la clave simétrica, asegurando que solo los atacantes puedan descifrarla.

c. Renombrado de Archivos

  • Los archivos cifrados son renombrados añadiendo la extensión ".interlock". Ejemplo:
    • archivo1.jpgarchivo1.jpg.interlock.

d. Nota de Rescate

  • Se crea un archivo llamado "!README!.txt" en los directorios afectados.
  • La nota de rescate incluye información sobre el ataque, una dirección de contacto en la red Tor, y las condiciones para el descifrado.

3. Estrategia de Doble Extorsión

Además de cifrar los archivos, Interlock implementa una estrategia de doble extorsión:

  1. Pago por Descifrado: Exige un rescate en criptomonedas para proporcionar la clave de descifrado.
  2. Amenaza de Filtración: Si no se cumple con el pago, los datos exfiltrados son publicados o vendidos.

Las víctimas disponen de un plazo de 96 horas para responder. En caso de que no cooperen, los atacantes advierten sobre la divulgación a medios, reguladores y competidores, causando daños reputacionales.


4. Mecanismos Anti-Forenses y de Defensa

a. Prevención de Recuperación de Datos

  • Interlock sobrescribe sectores de los archivos cifrados, dificultando la recuperación a través de herramientas forenses.
  • Borra copias de seguridad locales, como las creadas por el servicio de Volumen de Sombra en sistemas Windows.

b. Persistencia

  • Modifica claves de registro o utiliza scripts para garantizar la ejecución durante el inicio del sistema.

c. Detección y Evitación de Defensa

  • Ofusca su código para evitar detección por herramientas antivirus y de análisis estático.
  • Monitorea y deshabilita procesos de seguridad que puedan interferir en su operación.

5. Técnicas de Distribución Avanzadas

Aunque los métodos mencionados son los más documentados, Interlock podría emplear:

  • Phishing: Correos electrónicos con archivos adjuntos maliciosos (documentos de Office con macros).
  • Descargas Drive-By: Sitios web comprometidos que descargan automáticamente el malware.
  • Publicidad Maliciosa: Anuncios que redirigen a sitios que descargan el ransomware.
  • Dispositivos Externos: Propagación a través de memorias USB infectadas.

Impacto y consecuencias

Impacto y Consecuencias Técnicas del Ransomware Interlock

Interlock es una amenaza avanzada de ransomware que no solo afecta la disponibilidad de los datos, sino que también tiene un impacto significativo en la continuidad del negocio, la privacidad y la seguridad de las organizaciones atacadas. A continuación, se detalla el impacto técnico y las consecuencias derivadas de un ataque con este ransomware.


1. Impacto en la Disponibilidad de los Datos

a. Cifrado Completo de Archivos Críticos

Interlock emplea algoritmos de cifrado avanzados como AES para bloquear el acceso a los archivos y RSA para proteger las claves de cifrado.

  • Los archivos quedan inutilizables sin la clave de descifrado proporcionada por los atacantes tras el pago del rescate.
  • Incluye tanto datos operativos (bases de datos, sistemas ERP) como documentos financieros y legales.

b. Eliminación de Copias de Seguridad Locales

El ransomware ejecuta comandos para eliminar volúmenes de sombra y desactivar puntos de restauración del sistema en Windows:

Esto imposibilita la recuperación de datos desde copias de seguridad locales, dejando a las organizaciones sin opciones inmediatas para restaurar la información.


2. Impacto Financiero Directo e Indirecto

a. Rescate Exigido

El rescate, que se solicita en criptomonedas, varía entre decenas y cientos de miles de dólares. Las grandes organizaciones pueden enfrentar demandas superiores al millón de dólares.

b. Costos Operativos

  • Interrupción de operaciones debido a la indisponibilidad de datos.
  • Necesidad de contratar servicios externos de recuperación de datos o negociadores con los atacantes.

c. Multas y Sanciones

Si los datos robados incluyen información protegida por leyes de privacidad (como GDPR, HIPAA, o Ley 1581 de Colombia), las empresas pueden enfrentar sanciones regulatorias significativas.


3. Impacto en la Confidencialidad

a. Exfiltración de Datos

Interlock opera bajo un modelo de doble extorsión. Los atacantes recopilan datos confidenciales antes de cifrarlos:

  • Documentos legales, contratos, y datos personales.
  • Información financiera y de investigación y desarrollo.

b. Filtración de Información Sensible

Si las víctimas no pagan, los atacantes pueden:

  • Publicar los datos en foros clandestinos.
  • Vender la información a terceros interesados, como competidores o actores maliciosos. Esto expone a las organizaciones a posibles demandas legales y daños a su reputación.

4. Consecuencias Operativas

a. Interrupción del Negocio

El cifrado de datos críticos y la pérdida de acceso a sistemas esenciales paralizan las operaciones:

  • En sectores industriales, puede interrumpir líneas de producción.
  • En servicios financieros, afecta transacciones y registros.
  • En hospitales, pone en riesgo la atención a pacientes.

b. Tiempo de Inactividad Prolongado

Incluso si se paga el rescate, el descifrado puede tomar días o semanas debido al volumen de datos comprometidos y la necesidad de restaurar sistemas.


5. Consecuencias de Seguridad y Reputación

a. Daños Reputacionales

La publicación de datos exfiltrados o la exposición mediática del ataque afecta la confianza de clientes, socios y empleados.

  • Las empresas pierden ventaja competitiva si se filtra propiedad intelectual.
  • La divulgación de datos personales daña la imagen de cumplimiento y ética corporativa.

b. Desconfianza en los Sistemas de Seguridad

Un ataque exitoso expone deficiencias en las políticas de seguridad cibernética y puede atraer la atención de otros actores maliciosos.


6. Efectos a Largo Plazo

a. Reestructuración de Estrategias de Seguridad

Las organizaciones deben invertir significativamente en mejorar su infraestructura de seguridad:

  • Implementación de soluciones avanzadas de detección y respuesta (EDR, XDR).
  • Revisión de políticas de acceso y respaldo.

b. Costos de Recuperación y Remediación

El costo de recuperación puede ser sustancial:

  • Contratar consultores para análisis forense y evaluación de brechas.
  • Recuperar datos mediante procesos de reconstrucción manual o herramientas especializadas.

c. Pérdida de Competitividad

Las empresas que sufren ataques graves enfrentan dificultades para mantenerse competitivas debido al tiempo y los recursos requeridos para la recuperación.

Origen y motivación

El ransomware Interlock se originó como una herramienta de ciberdelincuencia diseñada para maximizar el impacto financiero y operativo en sus víctimas mediante el modelo de doble extorsión. Su motivación principal radica en obtener ganancias económicas mediante el cifrado de archivos críticos y la amenaza de filtrar datos sensibles robados a grandes organizaciones, como entidades gubernamentales y empresas de los sectores sanitario, tecnológico y manufacturero. Este enfoque apunta a presionar a las víctimas a pagar rescates elevados, explotando su necesidad urgente de restaurar operaciones y proteger su reputación frente a la exposición pública.