Interlock-ransomwareangreb eskalerer. En fælles advarsel fra CISA, FBI og USAs Department of Homeland Security bekræfter, at gruppen aggressivt målretter kritiske sektorer i Nordamerika og Europa.
Gruppen er kendt for dobbelte afpresningstaktikker, nye varianter af fjernadgangs-trojanere (RAT) og avancerede social engineering-metoder. Ofrene inkluderer hospitaler, offentlige myndigheder, producenter og skoler.
En hurtigt voksende trussel
Interlock, som først blev opdaget i slutningen af 2024, har udviklet sig hurtigt. Gruppens mest profilerede angreb indtil videre var i maj 2025 mod Kettering Health, hvor de:
- Lammede 14 medicinske centre
- Aflyste tusindvis af behandlinger
- Eksporterede 1 terabyte data
“Disse aktører er opportunistiske og økonomisk motiverede,” sagde CISA.
“De forstyrrer essentielle tjenester for maksimal effekt.”
Hvordan Interlock får adgang
Interlock bruger drive-by downloads og udgiver sig for at være falske Chrome- eller Edge-opdateringer. Angriberne skjuler malware bag forfalskede browseradvarsler på kompromitterede hjemmesider.
Vigtige angrebsmetoder inkluderer:
- ClickFix: Falske CAPTCHA’er, der instruerer brugere til at åbne Kør og indsætte ondsindede PowerShell-kommandoer
- Udklædning: RAT’er forklædt som IT-værktøjer
- Command & Control (C2) via Cobalt Strike og AnyDesk
Ny RAT-variant opdaget
Gruppen har opgraderet fra JavaScript til en ny PHP-baseret RAT, første gang set i juni 2025. Det er en del af den bredere Kongtuke FileFix-kampagne, ifølge DFIR Report og Proofpoint.
Når gruppen er inde, installerer den typisk:
- LumanStealer og en keylogger
- Høster legitimationsoplysninger
- Bevæger sig lateralt for dybere adgang
Kryptering, afpresning og Onion-blog
Interlock-ransomware krypterer både Windows- og Linux-systemer og tilføjer .interlock eller .1nt3rlock som filendelser på de berørte filer.
Ofrene modtager løsepengebreve, der dirigerer dem til gruppens “Worldwide Secrets Blog” på dark web. Her bliver de bedt om at betale i Bitcoin, ellers risikerer de offentlig eksponering af de stjålne data.
Ofrene får 96 timer til at efterkomme kravene. Interlock advarer om, at brug af gendannelsesværktøjer eller genstart af systemer kan føre til permanent datatab.
Er Interlock forbundet med Rhysida?
Sikkerhedseksperter mener, at Interlock kan være en splittelse af den Rusland-tilknyttede Rhysida-gruppe. Lighederne i krypteringsværktøjer, RAT-adfærd og afpresningstaktikker er påfaldende.
Siden januar 2025 har gruppen hævdet at have ramt mindst 35 ofre, hvoraf mere end halvdelen er inden for de sidste seks uger, ifølge Cybernews.
Hvad organisationer bør gøre
CISA opfordrer til øjeblikkelig handling og anbefaler:
- Robuste EDR-løsninger
- Hyppige opdateringer
- Multi-faktor autentifikation
- Strikt netværkssegmentering
Nick Tausek fra Swimlane understreger også vigtigheden af medarbejderoplysning:
“Social engineering er den bløde plet. Uddannelse af brugere er lige så kritisk som opdatering af firewalls.”
Konklusion
Stigningen i Interlock-ransomwareangreb viser, hvor hurtigt nutidens trusler udvikler sig. Med avancerede taktikker og hurtigt bevægende kampagner skal organisationer være på forkant med lagdelte forsvar, klare procedurer og veluddannet personale. For i 2025 banker ransomware ikke på—det klikker.
0 svar til “Interlock ransomwareangreb stiger kraftigt i Nordamerika og Europa”