Il 22 luglio CISA, FBI e MS-ISAC hanno pubblicato un advisory dettagliato su Interlock, gruppo ransomware emerso a fine 2024 ma oggi in forte espansione. Analizziamo come l’OSINT permette di ricostruire TTP, infezioni e contromisure senza accesso a fonti classificate.
- Interlock punta a infrastrutture critiche in Nord America ed Europa, colpisce VM Windows e Linux e applica doppia estorsione.
- L’advisory elenca IOCs e tecniche MITRE ATT&CK, mentre AttackIQ ha già rilasciato grafi di simulazione.
Spunti di riflessione
- Collezionare leak del gruppo su Onion mirror consente di stimare l’entità dei dati esfiltrati prima della pubblicazione.
- L’analisi OSINT dei registri DNS mostra che i domini di comando & controllo sono riciclati da campagne LockBit, confermando possibili sinergie fra gang.
- Riprodurre i grafi AttackIQ in lab accelera il test dei controlli EDR e permette reporting immediato al board.
Stai archiviando in modo strutturato i dati sui domini onion e sui negozi di ransom per future correlazioni?