Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT

secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More

Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
https://www.secnews.gr/649599/interlock-ransomware-xrisi-neou-nodesnake-rat-malware/
May 29th 2025, 11:36
by Digital Fortress

Η συμμορία ransomware Interlock κλιμακώνει τη δραστηριότητά της, αναπτύσσοντας ένα νέο trojan απομακρυσμένης πρόσβασης (RAT) με την ονομασία NodeSnake, στοχεύοντας αυτή τη φορά τον τομέα της ανώτατης εκπαίδευσης (πανεπιστήμια).


Σύμφωνα με ανάλυση από την QuorumCyber, το NodeSnake εντοπίστηκε σε τουλάχιστον δύο επιβεβαιωμένες επιθέσεις σε πανεπιστήμια του Ηνωμένου Βασιλείου τον Ιανουάριο και τον Μάρτιο του 2025. Τα δύο δείγματα παρουσίαζαν σημαντικές διαφορές μεταξύ τους, γεγονός που υποδηλώνει ότι το κακόβουλο λογισμικό βρίσκεται υπό ενεργή ανάπτυξη, με προσθήκες νέων λειτουργιών και δυνατοτήτων.
Η ομάδα Interlock έκανε την εμφάνισή της τον Σεπτέμβριο του 2024 και έχει συνδεθεί με επιθέσεις εναντίον του Texas Tech University, της εταιρείας DaVita, καθώς και του Kettering Health στο Οχάιο. Επιπλέον, η ομάδα έχει χρησιμοποιήσει tactics τύπου "ClickFix", εμφανίζοντας κακόβουλα αρχεία ως εργαλεία τεχνικής υποστήριξης, για να εξασφαλίσει αρχική διείσδυση σε εταιρικά δίκτυα.
Δείτε επίσης: Το DragonForce ransomware καταχράται το SimpleHelp
NodeSnake: Ένα νέο RAT malware της ransomware συμμορίας Interlock
Το NodeSnake RAT διανέμεται κυρίως μέσω καμπανιών phishing, με μηνύματα που περιέχουν επιβλαβείς συνδέσμους ή συνημμένα αρχεία, τα οποία οδηγούν στη μόλυνση των συστημάτων.
Το κακόβουλο λογισμικό είναι γραμμένο σε JavaScript και εκτελείται μέσω του Node.js runtime. Επιτυγχάνει επίμονη παρουσία στο μολυσμένο σύστημα χρησιμοποιώντας PowerShell ή CMD scripts που δημιουργούν παραπλανητικές καταχωρήσεις μητρώου, όπως η "ChromeUpdater", που προσποιείται ότι σχετίζεται με ενημερώσεις του Google Chrome — μια τεχνική που βοηθά το malware να περνά απαρατήρητο από τους χρήστες και τα συστήματα ασφαλείας.
Για να αποφύγει τον εντοπισμό, το κακόβουλο λογισμικό εκτελείται ως detached background process και τα ονόματα αρχείων και τα payloads έχουν τυχαία ονόματα. Επιπλέον, οι επικοινωνίες με τους C2 servers πραγματοποιούνται με τυχαίες χρονικές καθυστερήσεις, μειώνοντας περαιτέρω την πιθανότητα εντοπισμού από τα συστήματα ασφαλείας.
Δείτε επίσης: Ιρανός ομολόγησε την εμπλοκή του στο Robbinhood ransomware
Ο κακόβουλος κώδικας είναι heavily obfuscated, χρησιμοποιείται XOR κρυπτογράφηση με rolling key και random seeds, ενώ εφαρμόζει και τεχνικές console tampering για να μπερδέψει τα εργαλεία εντοπισμού σφαλμάτων.
Αν και το C2 IP address είναι hardcoded, η σύνδεση δρομολογείται μέσω Cloudflare-proxied domains, καλύπτοντας την πραγματική ταυτότητα της υποδομής του επιτιθέμενου.


Δυνατότητες κατασκοπείας και απομακρυσμένου ελέγχου
Αφού ενεργοποιηθεί, το NodeSnake malware συλλέγει ευαίσθητα μεταδεδομένα, όπως πληροφορίες χρήστη, εκτελούμενες διεργασίες, ενεργές υπηρεσίες και ρυθμίσεις δικτύου. Τα δεδομένα αποστέλλονται πίσω στους servers της ransomware συμμορίας Interlock.
Η λειτουργικότητά του δεν σταματά εκεί. Το malware μπορεί να τερματίσει διεργασίες, να φορτώσει πρόσθετα αρχεία EXE, DLL ή JavaScript, καθώς και να εκτελεί εντολές CMD σε πραγματικό χρόνο.
Επιμονή και πρόωρη ανίχνευση
Η ύπαρξη και η συνεχής βελτίωση του NodeSnake αποτελεί ξεκάθαρη ένδειξη της πρόθεσης της Interlock να διατηρήσει μακροπρόθεσμη πρόσβαση σε κρίσιμα δίκτυα. Η πλήρης λίστα των δεικτών παραβίασης (IoCs) είναι διαθέσιμη στο τέλος της έκθεσης της QuorumCyber και μπορεί να αποδειχθεί εξαιρετικά χρήσιμη για πρόωρη ανίχνευση και αποτροπή επιθέσεων ransomware.
Η έγκαιρη παρακολούθηση αυτών των δεικτών είναι κρίσιμη, καθώς μπορεί να αποτρέψει την εξαγωγή δεδομένων και την κρυπτογράφηση — τις τελευταίες και πιο καταστροφικές φάσεις μιας επίθεσης τύπου Interlock.
Δείτε επίσης: MathWorks: Ransomware επίθεση πίσω από τη διακοπή υπηρεσιών
Συστάσεις για προστασία:
• Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
• Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
• Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
• Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
• Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
• Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
• Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
• Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
• Ενεργοποιήστε την εμφάνιση των επεκτάσεων αρχείων
• Επενδύστε σε λύσεις προηγμένης προστασίας
• Χρησιμοποιήστε sandbox για τα συνημμένα email
• Διατηρείτε αντίγραφα ασφαλείας των δεδομένων σας
Πηγή: www.bleepingcomputer.com



You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz