Interlock-Ransomware-Angriffe nehmen in Nordamerika und Europa stark zu

Die Interlock-Ransomware-Angriffe nehmen zu. Eine gemeinsame Warnung von CISA, FBI und dem US-Heimatschutzministerium bestätigt, dass die Gruppe gezielt kritische Sektoren in Nordamerika und Europa angreift.

Die Gruppe ist bekannt für Doppel-Erpressung, neue Varianten von Remote-Access-Trojanern (RAT) und fortschrittliche Social-Engineering-Taktiken. Zu den Opfern gehören Krankenhäuser, Regierungsbehörden, Hersteller und Schulen.

Eine schnell wachsende Bedrohung

Interlock wurde erstmals Ende 2024 entdeckt und hat sich schnell weiterentwickelt. Der bisher bekannteste Angriff war im Mai 2025 auf Kettering Health, der:

• 14 medizinische Zentren lahmlegte
• Tausende von Eingriffen absagte
• 1 Terabyte an Daten exfiltrierte

„Diese Akteure sind opportunistisch und finanziell motiviert“, sagte CISA.
„Sie stören essentielle Dienste, um maximalen Druck auszuüben.“

Wie Interlock Zugriff erhält

Interlock nutzt Drive-by-Downloads und gibt sich als gefälschte Chrome- oder Edge-Updates aus. Die Angreifer verstecken die Malware hinter gefälschten Browserwarnungen auf kompromittierten Webseiten.

Wichtige Angriffsmethoden sind:

• ClickFix: Gefälschte CAPTCHAs, die Nutzer anweisen, das „Ausführen“-Fenster zu öffnen und schädliche PowerShell-Befehle einzufügen
• Nachahmung: RATs, die als IT-Tools getarnt sind
• Command & Control (C2) über Cobalt Strike und AnyDesk

Neue RAT-Variante entdeckt

Die Gruppe ist von JavaScript auf eine neue PHP-basierte RAT-Variante umgestiegen, die erstmals im Juni 2025 gesichtet wurde. Diese ist Teil der größeren Kongtuke FileFix-Kampagne, so der DFIR Report und Proofpoint.

Nach dem Eindringen installiert die Gruppe typischerweise:

• LumanStealer und einen Keylogger
• Erfasst Zugangsdaten
• Bewegt sich lateral für tiefergehenden Zugriff

Verschlüsselung, Erpressung und das Onion-Blog

Die Interlock-Ransomware verschlüsselt Windows- und Linux-Systeme und fügt den Dateien die Endungen .interlock oder .1nt3rlock hinzu.

Opfer erhalten Lösegeldforderungen, die sie zum „Worldwide Secrets Blog“ der Gruppe im Darknet leiten. Dort wird zur Zahlung in Bitcoin aufgefordert, sonst droht die Veröffentlichung der gestohlenen Daten.

Die Opfer haben 96 Stunden Zeit zur Zahlung. Interlock warnt davor, Wiederherstellungs-Tools zu benutzen oder das System neu zu starten, da dies zu dauerhaftem Datenverlust führen kann.

Ist Interlock mit Rhysida verbunden?

Sicherheitsanalysten vermuten, dass Interlock eine Abspaltung der Russland-nahen Rhysida-Gruppe ist. Die Ähnlichkeiten bei Verschlüsselungstools, RAT-Verhalten und Erpressungstaktiken sind auffällig.

Seit Januar 2025 hat die Gruppe mindestens 35 Opfer beansprucht, mehr als die Hälfte davon in den letzten sechs Wochen, so Cybernews.

Was Organisationen tun sollten

CISA empfiehlt sofortiges Handeln mit:

• Robustem Endpoint Detection and Response (EDR)
• Häufigen Software-Updates
• Multi-Faktor-Authentifizierung
• Strikter Netzwerksegmentierung

Nick Tausek von Swimlane betont außerdem die Bedeutung der Mitarbeiterschulung:

„Social Engineering ist die Schwachstelle. Das Training der Nutzer ist genauso wichtig wie das Patchen der Firewalls.“

Fazit

Der Anstieg der Interlock-Ransomware-Angriffe zeigt, wie schnell sich heutige Bedrohungen entwickeln. Mit fortschrittlichen Taktiken und schnellen Kampagnen müssen Organisationen mit mehrschichtigen Verteidigungen, klaren Abläufen und geschultem Personal stets einen Schritt voraus sein. Denn im Jahr 2025 klopft Ransomware nicht mehr an — sie klickt.