Interlock Ransomware

By /

Interlock Ransomware – Amenințare, TTP-uri și Recomandări CISA (AA25-203A)

În 22 iulie 2025, Cybersecurity and Infrastructure Security Agency (CISA) împreună cu Federal Bureau of Investigation (FBI), Department of Health and Human Services (HHS) și Multi-State Information Sharing and Analysis Center (MS-ISAC) au publicat un Cybersecurity Advisory (cod AA25-203A) privind Interlock ransomware — o variantă de ransomware emergentă și activă, ce a început să fie observată din septembrie 2024 și a vizat organizații din infrastructuri critice, sectoare de sănătate, companii private și guvernamentale în America de Nord și Europa. CISA+1

1. Prezentarea Interlock Ransomware

Interlock este o variantă de ransomware cu caracter financiar-motivat, descrisă în cadrul CISA AA25-203A ca un actor care:

  • Acționează pe atât în medii Windows, cât și Linux. CISA
  • A avut impact asupra mașinilor virtuale (VM-uri), criptând datele fără a afecta, în mod aparent, sistemele fizice sau stațiile de lucru. CISA
  • Utilizează un model de double extortion, în care datele sunt exfiltrate anterior criptării, pentru a spori presiunea asupra victimelor. CISA

Modelul de extorcare presupune că, după compromiterea infrastructurii, operatorii:

  1. Exfiltrează date sensibile.
  2. Criptează fișierele victimei.
  3. Solicită victimei să contacteze un site .onion pentru negocieri (fără a include inițial detalii despre suma de plată). AttackIQ

2. Tacticile, Tehnicile și Procedurile (TTP-uri)

AA25-203A oferă informații despre tacticile, tehnicile și procedurile folosite de Interlock, bazate pe investigațiile FBI și rapoarte terțe:

2.1 Accesul Inițial (Initial Access)

Interlock folosește vectori de acces neobișnuiți pentru grupurile de ransomware:

  • Drive-by downloads (descărcări automate de code malițios de pe site-uri legitime compromise). CISA
  • Tehnică de social engineering numită ClickFix, în care utilizatorii sunt păcăliți să ruleze un payload malițios sub pretextul „remedierii” unei probleme sau ca fiind un CAPTCHA fals. CISA

2.2 Persistența și Descoperirea Mediului

După accesul inițial, atacatorii:

  • Creează mecanisme de persistenta, cum ar fi sarcini programate sau modificări în registry (pe Windows).
  • Realizează reconnaissance intern (ex: interogări de informații sistem, bază de date servicii, ARP cache). AttackIQ

2.3 Comandă & Control (C2) și Execuția

În această fază atacatorii:

  • Utilizează instrumente precum Cobalt Strike, SystemBC sau alți loader-i pentru stabilirea și menținerea canalelor de C2 (comandă și control). AttackIQ
  • Pot implementa RAT-uri (Remote Access Trojans) și keyloggere pentru a captura input-uri critice și a obține control extins. AttackIQ

2.4 Mișcarea Laterală (Lateral Movement)

Interlock poate încerca:

  • Deplasare laterală folosind RDP (Remote Desktop Protocol). AttackIQ
  • Harvesting de credențiale prin malware specializat (stealere). Picus Security

2.5 Impactul – Criptarea și Exfiltrarea

În etapa de impact:

  • Disponibilele volume de disc sunt identificate și parcurse programatic. AttackIQ
  • Fișierele relevante sunt criptate utilizând scheme criptografice moderne (ex: AES-128 CBC + RSA-1024). AttackIQ

3. Modelele de Exfiltrare și Extorcare

Ransomware-ul Interlock utilizează o combinație periculoasă:

  • Exfiltrare de date înainte de criptare.
  • Publicarea datelor furate pe un site dedicat (DLS, “Dedicated Leak Site”), unde victimele pot fi constrânse suplimentar. AttackIQ

Această abordare maximizează presiunea psihologică și financiară asupra victimelor — datele furate sunt folosite ca pârghie suplimentară pentru plata răscumpărării.

4. Sectorialitatea și Țintele

Advisory-ul semnalează un spectru larg de victime, incluzând:

  • infrastructuri critice,
  • sănătate,
  • tehnologie,
  • guvern,
  • manufactură,
    atat în America de Nord, cât și în Europa. Security Boulevard

Acest lucru indică o strategie opportunistă, nu concentrată pe o anumită industrie.

5. Recomandări CISA pentru Reducerea Impactului

CISA și partenerii includ un set detaliat de mitigări orientate spre apărare și reziliență. Dintre măsurile cheie:

5.1 Măsuri preventive

  • Trainings pentru utilizatori pentru a reduce riscul social engineering (ClickFix etc.).
  • Patch management constant pentru sisteme și aplicații.
  • Segmentare de rețea și control strict al accesului la resursele critice.

5.2 Detectare și răspuns

  • Implementarea de soluții EDR/XDR robuste pentru detecție avansată.
  • Centralizarea logurilor și corelarea evenimentelor (SIEM/SOAR).
  • Monitorizare DNS și filtrare proactivă a traficului rău intenționat. Infoblox Blog

5.3 Recuperare

  • Back-up offline și teste periodice de restaurare.
  • Planuri formale de recuperare după incidente.

6. Concluzii – Ce Înseamnă AA25-203A pentru Organizații

Advisory-ul AA25-203A reflectă evoluția amenințărilor ransomware:

  1. Vectori de atac neobișnuiți (drive-by download, tehnici de inginerie socială).
  2. TTP-uri sofisticate integrate într-o campanie coordonată.
  3. Impact semnificativ asupra mediilor virtualizate.
  4. Model de extorcare dublă (double extortion) care agravează riscul financiar și reputațional. CISA+1

Pentru organizații, adoptarea unei strategii de securitate bazate pe defense-in-depth, monitorizare continuă și răspuns agresiv la incidente nu mai este opțională — este o necesitate pentru a contracara amenințări de tip ransomware moderne.

Sursa principală

  • Cybersecurity Advisory AA25-203A – joint advisory CISA/FBI/HHS/MS-ISAC cu privire la Interlock ransomware. CISA
Scroll to Top