Az Interlock ransomware fejlődése
Az Interlock ransomware-t először 2024 szeptemberében észlelték. Az Interlock nem sorolható a „Ransomware-as-a-Service” (RaaS) csoportba, mivel 2025 márciusáig nem találtak hirdetéseket a partnerek toborzására vagy a partnerekre vonatkozó információkat. Sok más ransomware csoporthoz hasonlóan az Interlocknak is van egy adatszivárogtatási oldala (DLS), a „Worldwide Secrets Blog”, amely feltárja az áldozatok adatait, és lehetőséget biztosít az áldozatoknak a váltságdíjról való tárgyalásra.
Bár az Interlock üzemeltetői továbbra is rendszeresen tesznek közzé új áldozatokat a DLS-en, a jelenleg működő legaktívabb zsarolóvírus csoportokhoz képest kevesebb nevet tesznek közzé – 2024 szeptembere óta 24 áldozatot, ebből 6-ot 2025-ben. Valóban, az olyan zsarolóprogramok, mint a Clop, RansomHub, Akira, Babuk, Lynx, Qilin és Fog, mind több mint száz áldozatot követeltek 2025 első negyedévében. Az Interlock ransomware által érintett vállalatok Észak-Amerika és Európa különböző szektoraiból kerülnek ki, ami azt jelzi, hogy a célpontok kiválasztása elsősorban opportunista célok mentén történik.
Az Interlock egy többlépcsős támadási láncot alkalmaz, amely legitim webhelyek kompromittálásával kezdődik, amelyek hamis böngészőfrissítéseket, például Google Chrome vagy MS Edge telepítőket szállítanak. Ezek a hamis telepítők egy PowerShell backdoor-t futtatnak, amely megkönnyíti több tool futtatását, és végül a ransomware payload-jának telepítéséhez vezet.
Az Interlock megjelenése óta a Sekoia Threat Detection & Research (TDR) csapata megfigyelte, hogy az operátorok fejlődtek, fejlesztették eszköztárukat, és új technikákat, például a ClickFix-et használták a ransomware hasznos terhelésének telepítéséhez. Olyan új eszközöket is használtak, mint a LummaStealer és a BerserkStealer. 2025. januárjában a Sekoia TDR-csapat megfigyelt egy változást az Interlock hamis frissítéseiben. A hamis böngészőfrissítésekről biztonsági szoftvereknek látszó frissítésekre váltott a csoport (FortiClient[.]exe, Ivanti-Secure-Access-Client[.]exe, Webex[.]exe, AnyConnectVPN[.]exe, Cisco-Secure-Client[.]exe).
2025. január 9-én a Sekoia megfigyelte, hogy a ClickFix social engineering technikát alkalmazta az Interlock. A ClickFix támadások során a kiberszereplő hamis rendszer prompt-okkal vagy CAPTCHA ellenőrzésekkel manipulálják a felhasználókat, hogy rosszindulatú parancsokat hajtsanak végre. Ezek a felszólítások arra ösztönzik az áldozatokat, hogy kézzel másoljanak és illesszenek be rosszindulatú PowerShell parancsokat, megkerülve az automatikus biztonsági intézkedéseket, ami rosszindulatú programok telepítéséhez vagy a rendszer kompromittálásához vezet.
A Sekoia jelentése részletezi az Interlock üzemeltetői által használt kártékony kódokat és technikákat, és frissíti a fenyegetéssel kapcsolatos ismereteket.
