Interlock ransomware-angrepene øker. En felles advarsel fra CISA, FBI og USAs Department of Homeland Security bekrefter at gruppen aggressivt retter seg mot kritiske sektorer i Nord-Amerika og Europa.
Gruppen er kjent for dobbel utpressing, nye varianter av fjernstyrte trojanere (RAT), og avanserte sosial manipulasjonsmetoder. Ofrene inkluderer sykehus, myndigheter, produsenter og skoler.
En raskt voksende trussel
Først observert sent i 2024, har Interlock raskt utviklet seg. Gruppens mest profilerte angrep til nå var et angrep mot Kettering Health i mai 2025, som:
- Lammet 14 medisinske sentre
- Avlyste tusenvis av prosedyrer
- Involverte 1 terabyte med utvunnet data
«Disse aktørene er opportunistiske og økonomisk motiverte,» sa CISA.
«De forstyrrer essensielle tjenester for maksimal påvirkning.»
Hvordan Interlock får tilgang
Interlock bruker drive-by nedlastinger, og utgir seg for å være falske Chrome- eller Edge-oppdateringer. Angriperne skjuler malware bak forfalskede nettleseradvarsler på kompromitterte nettsider.
Nøkkelmetoder inkluderer:
- ClickFix: Falske CAPTCHA-er som instruerer brukere til å åpne Kjør, lime inn ondsinnede PowerShell-kommandoer
- Forkledning: RAT-er som utgir seg for å være IT-verktøy
- Kommando- og kontrollsenter (C2) via Cobalt Strike og AnyDesk
Ny RAT-variant oppdaget
Gruppen har oppgradert fra JavaScript til en ny PHP-basert RAT, først observert i juni 2025. Dette er en del av en større Kongtuke FileFix-kampanje, ifølge DFIR Report og Proofpoint.
Når de er inne, installerer gruppen vanligvis:
- LumanStealer og en keylogger
- Samler inn legitimasjon
- Beveger seg sidelengs for dypere tilgang
Kryptering, utpressing og Onion-blogg
Interlock-ransomware krypterer både Windows- og Linux-systemer, med filendelsene .interlock eller .1nt3rlock.
Ofrene mottar løsepengekrav som leder dem til gruppens “Worldwide Secrets Blog” på det mørke nettet. Der blir de bedt om å betale med Bitcoin, ellers risikerer de offentlig eksponering av stjålet data.
Ofrene får 96 timer på seg til å etterkomme kravet. Interlock advarer om at bruk av gjenopprettingsverktøy eller omstart av systemer kan føre til permanent tap av data.
Er Interlock knyttet til Rhysida?
Sikkerhetsanalytikere mener Interlock kan være en avlegger av den Russland-tilknyttede Rhysida-gjengen. Likhetene i krypteringsverktøy, RAT-adferd og utpresningstaktikker er slående.
Siden januar 2025 har gruppen påtatt seg ansvar for minst 35 ofre, hvorav mer enn halvparten har skjedd de siste seks ukene, ifølge Cybernews.
Hva organisasjoner bør gjøre
CISA oppfordrer til umiddelbar handling, og anbefaler:
- Robust EDR-løsninger
- Hyppige oppdateringer og patching
- Multifaktorautentisering
- Streng nettverkssegmentering
Nick Tausek fra Swimlane understreker også viktigheten av opplæring:
«Sosial manipulering er det svake punktet. Opplæring av ansatte er like kritisk som å oppdatere brannmurer.»
Konklusjon
Økningen i Interlock ransomware-angrep viser hvor raskt dagens trusler utvikler seg. Med avanserte taktikker og raske kampanjer må organisasjoner ligge i forkant med lagdelte forsvar, klare prosedyrer og godt trente ansatte. For i 2025 banker ikke ransomware på — det klikker.
0 svar til “Interlock ransomware-angrep øker kraftig i Nord-Amerika og Europa”