米国 CISA ランサムウェアInterlockについての警告 (2025.07.22)

こんにちは、丸山満彦です。

連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、保健福祉省（HHS）、州情報共有分析センター（MS-ISAC）がInterlockランサムウェアについて、警告をだしていますね...

WindowsとLinuxの両方の環境向けで、金目当てということのようです...

 

● CISA

・2025.07.22 #StopRansomware: Interlock

Alert Code aa25-203a

#StopRansomware: Interlock	#StopRansomware: インターロック
Actions for Organizations to Take Today to Mitigate Cyber Threats Related to Interlock Ransomware Activity	Interlockランサムウェアの活動に関するサイバー脅威を緩和するために、組織が今日取るべき行動
Prevent initial access by implementing domain name system (DNS) filtering and web access firewalls, and training users to spot social engineering attempts.	ドメインネームシステム（DNS）フィルタリングやウェブアクセス・ファイアウォールを導入し、ソーシャル・エンジニアリングの試みを見抜くようユーザーを訓練することで、初期アクセスを防止する。
Mitigate known vulnerabilities by ensuring operating systems, software, and firmware are patched and up to date.	オペレーティング・システム、ソフトウェア、ファームウェアにパッチを適用し、最新の状態にすることで、既知の脆弱性を緩和する。
Segment networks to restrict lateral movement from initial infected devices and other devices in the same organization.	ネットワークをセグメント化し、最初に感染したデバイスや同じ組織内の他のデバイスからの横の動きを制限する。
Implement identity, credential, and access management (ICAM) policies across the organization and then require multifactor authentication (MFA) for all services to the extent possible.	ID、クレデンシャル、アクセス管理（ICAM）ポリシーを組織全体に導入し、可能な限りすべてのサービスに多要素認証（MFA）を義務付ける。
Summary	要約
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources.	注：この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種やランサムウェアの脅威アクターについて詳述した勧告をネットワーク防御者向けに公表する、#StopRansomwareの継続的な取り組みの一環である。これらの #StopRansomware アドバイザリには、組織がランサムウェアから保護するのに役立つ、最近および過去に観測された戦術、技術、手順（TTP）、および侵害の指標（IOC）が含まれている。stopransomware.govにアクセスして、すべての#StopRansomwareアドバイザリを参照し、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Department of Health and Human Services (HHS), and Multi-State Information Sharing and Analysis Center (MS-ISAC)—hereafter referred to as “the authoring organizations”—are releasing this joint advisory to disseminate known Interlock ransomware IOCs and TTPs identified through FBI investigations (as recently as June 2025) and trusted third-party reporting.	連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、保健福祉省（HHS）、および複数州情報共有分析センター（MS-ISAC）（以下、「認可機関」と呼ぶ）は、FBIの調査（2025年6月現在）およびサードパーティからの信頼できる報告を通じて特定された既知のInterlockランサムウェアのIOCおよびTTPを広めるため、この共同勧告を発表する。
The Interlock ransomware variant was first observed in late September 2024, targeting various business, critical infrastructure, and other organizations in North America and Europe. FBI maintains these actors target their victims based on opportunity, and their activity is financially motivated. FBI is aware of Interlock ransomware encryptors designed for both Windows and Linux operating systems; these encryptors have been observed encrypting virtual machines (VMs) across both operating systems. FBI observed actors obtaining initial access via drive-by download from compromised legitimate websites, which is an uncommon method among ransomware groups. Actors were also observed using the ClickFix social engineering technique for initial access, in which victims are tricked into executing a malicious payload under the guise of fixing an issue on the victim’s system. Actors then use various methods for discovery, credential access, and lateral movement to spread to other systems on the network.	Interlockランサムウェアの亜種は、2024年9月下旬に初めて確認され、北米および欧州のさまざまな企業、重要インフラ、およびその他の組織を標的としていた。FBIは、これらの攻撃者は機会に基づいて被害者を標的にしており、その活動は金銭的な動機に基づくものであると主張している。FBIは、WindowsとLinuxの両OS向けに設計されたInterlockランサムウェアの暗号化プログラムを確認しており、これらの暗号化プログラムは、両OSの仮想マシン（VM）を暗号化することが確認されている。FBIは、ランサムウェアグループの間では珍しい方法である、侵害された正規のウェブサイトからのドライブバイダウンロードによって、行為者が最初のアクセスを取得することを確認した。この手法では、被害者は、被害者のシステム上の問題を修正するという名目で、悪意のあるペイロードを実行するよう騙される。行為者はその後、発見、クレデンシャルアクセス、およびネットワーク上の他のシステムに拡散するための横移動にさまざまな方法を使用する。
Interlock actors employ a double extortion model in which actors encrypt systems after exfiltrating data, which increases pressure on victims to pay the ransom to both get their data decrypted and prevent it from being leaked.	インターロックの行為者は、データを流出させた後にシステムを暗号化するという二重の恐喝モデルを採用しているため、被害者はデータの復号化と流出を防ぐために身代金の支払いを迫られることになる。
FBI, CISA, HHS, and MS-ISAC encourage organizations to implement the recommendations in the Mitigations section of this advisory to reduce the likelihood and impact of Interlock ransomware incidents.	FBI、CISA、HHS、および MS-ISAC は、Interlock ランサムウェアのインシデントの可能性と影響を低減するため、本アドバイザリの緩和策のセクションにある推奨事項を実施することを組織に推奨する。

 

・[PDF]

 

 

こんにちは、丸山満彦です。

FBI、CISA、保健福祉省 (HHS)、州ISCAが共同で、ランサムウェアInterlockについての警告をだしていますね...

WindowsとLinuxの両方向けに設計されていて、金目当てということのようです...

IOC, TTPについては、下のCISAのページから...

 

● CISA

・2025.07.22 #StopRansomware: Interlock

#StopRansomware: Interlock	#StopRansomware: インターロック
Actions for Organizations to Take Today to Mitigate Cyber Threats Related to Interlock Ransomware Activity	Interlockランサムウェアの活動に関するサイバー脅威を緩和するために、組織が今日取るべき行動
Prevent initial access by implementing domain name system (DNS) filtering and web access firewalls, and training users to spot social engineering attempts.	ドメインネームシステム（DNS）フィルタリングやウェブアクセス・ファイアウォールを導入し、ソーシャル・エンジニアリングの試みを見抜くようユーザーを訓練することで、初期アクセスを防止する。
Mitigate known vulnerabilities by ensuring operating systems, software, and firmware are patched and up to date.	オペレーティング・システム、ソフトウェア、ファームウェアにパッチを適用し、最新の状態にすることで、既知の脆弱性を緩和する。
Segment networks to restrict lateral movement from initial infected devices and other devices in the same organization.	ネットワークをセグメント化し、最初に感染したデバイスや同じ組織内の他のデバイスからの横の動きを制限する。
Implement identity, credential, and access management (ICAM) policies across the organization and then require multifactor authentication (MFA) for all services to the extent possible.	ID、クレデンシャル、アクセス管理（ICAM）ポリシーを組織全体に導入し、可能な限りすべてのサービスに多要素認証（MFA）を義務付ける。
Summary	まとめ
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources.	注：この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種やランサムウェアの脅威アクターについて詳述した勧告をネットワーク防御者向けに公表する、#StopRansomwareの継続的な取り組みの一環である。これらの #StopRansomware アドバイザリには、組織がランサムウェアから保護するのに役立つ、最近および過去に観測された戦術、技術、手順（TTP）、および侵害の指標（IOC）が含まれている。stopransomware.govにアクセスして、すべての#StopRansomwareアドバイザリを参照し、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Department of Health and Human Services (HHS), and Multi-State Information Sharing and Analysis Center (MS-ISAC)—hereafter referred to as “the authoring organizations”—are releasing this joint advisory to disseminate known Interlock ransomware IOCs and TTPs identified through FBI investigations (as recently as June 2025) and trusted third-party reporting.	連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、保健福祉省（HHS）、および複数州情報共有分析センター（MS-ISAC）（以下、「認可機関」と呼ぶ）は、FBIの調査（2025年6月現在）およびサードパーティからの信頼できる報告を通じて特定された既知のInterlockランサムウェアのIOCおよびTTPを広めるため、この共同勧告を発表する。
The Interlock ransomware variant was first observed in late September 2024, targeting various business, critical infrastructure, and other organizations in North America and Europe. FBI maintains these actors target their victims based on opportunity, and their activity is financially motivated. FBI is aware of Interlock ransomware encryptors designed for both Windows and Linux operating systems; these encryptors have been observed encrypting virtual machines (VMs) across both operating systems. FBI observed actors obtaining initial access via drive-by download from compromised legitimate websites, which is an uncommon method among ransomware groups. Actors were also observed using the ClickFix social engineering technique for initial access, in which victims are tricked into executing a malicious payload under the guise of fixing an issue on the victim’s system. Actors then use various methods for discovery, credential access, and lateral movement to spread to other systems on the network.	Interlockランサムウェアの亜種は、2024年9月下旬に初めて確認され、北米および欧州のさまざまな企業、重要インフラ、およびその他の組織を標的としていた。FBIは、これらの攻撃者は機会に基づいて被害者を標的にしており、その活動は金銭的な動機に基づくものであると主張している。FBIは、WindowsとLinuxの両OS向けに設計されたInterlockランサムウェアの暗号化プログラムを確認しており、これらの暗号化プログラムは、両OSの仮想マシン（VM）を暗号化することが確認されている。FBIは、ランサムウェアグループの間では珍しい方法である、侵害された正規のウェブサイトからのドライブバイダウンロードによって、行為者が最初のアクセスを取得することを確認した。この手法では、被害者は、被害者のシステム上の問題を修正するという名目で、悪意のあるペイロードを実行するよう騙される。行為者はその後、発見、クレデンシャルアクセス、およびネットワーク上の他のシステムに拡散するための横移動にさまざまな方法を使用する。
Interlock actors employ a double extortion model in which actors encrypt systems after exfiltrating data, which increases pressure on victims to pay the ransom to both get their data decrypted and prevent it from being leaked.	インターロックの行為者は、データを流出させた後にシステムを暗号化するという二重の恐喝モデルを採用しているため、被害者はデータの復号化と流出を防ぐために身代金の支払いを迫られることになる。
FBI, CISA, HHS, and MS-ISAC encourage organizations to implement the recommendations in the Mitigations section of this advisory to reduce the likelihood and impact of Interlock ransomware incidents.	FBI、CISA、HHS、および MS-ISAC は、Interlock ランサムウェアのインシデントの可能性と影響を低減するため、本アドバイザリの緩和策のセクションにある推奨事項を実施することを組織に推奨する。

 

・[PDF]