Interlock-ransomwareattackerna ökar i intensitet. En gemensam varning från CISA, FBI och USAs Department of Homeland Security bekräftar att gruppen aggressivt riktar sig mot kritiska sektorer i Nordamerika och Europa.
Gänget är känt för dubbel utpressning, nya varianter av fjärråtkomsttrojaner (RAT) och avancerade sociala ingenjörstekniker. Offren inkluderar sjukhus, myndigheter, tillverkare och skolor.
En snabbt växande hotbild
Interlock dök först upp i slutet av 2024 och har snabbt utvecklats. Gruppens mest uppmärksammade attack hittills var i maj 2025 mot Kettering Health, som:
- Paralyserade 14 medicinska center
- Ställde in tusentals operationer
- Involverade 1 terabyte exfiltrerade data
”Dessa aktörer är opportunistiska och ekonomiskt drivna,” säger CISA.
”De stör viktiga tjänster för maximal påverkan.”
Hur Interlock får tillgång
Interlock använder sig av drive-by downloads och utger sig för att vara falska Chrome- eller Edge-uppdateringar. Skadlig programvara göms bakom förfalskade webbläsarvarningar på komprometterade webbplatser.
Viktiga angreppsmetoder inkluderar:
- ClickFix: Falska CAPTCHA-rutor som instruerar användare att öppna Kör, klistra in skadliga PowerShell-kommandon
- Förklädnad: RATs som ser ut som IT-verktyg
- Command & Control (C2) via Cobalt Strike och AnyDesk
Ny RAT-variant upptäckt
Gruppen har uppgraderat från JavaScript till en ny PHP-baserad RAT, som först sågs i juni 2025. Den ingår i en bredare kampanj kallad Kongtuke FileFix, enligt DFIR Report och Proofpoint.
När de väl kommit in installerar gruppen vanligtvis:
- LumanStealer och en keylogger
- Samlar in inloggningsuppgifter
- Rör sig lateralt för djupare åtkomst
Kryptering, utpressning och Onion-bloggen
Interlock-ransomwaren krypterar både Windows- och Linux-system och lägger till .interlock eller .1nt3rlock i filändelserna.
Offren får utpressningsbrev som leder dem till gruppens ”Worldwide Secrets Blog” på dark web, där de uppmanas betala i Bitcoin eller riskera att deras stulna data publiceras.
Offren har 96 timmar på sig att följa kraven. Interlock varnar för att användning av återställningsverktyg eller omstart av systemen kan leda till permanent dataförlust.
Är Interlock kopplat till Rhysida?
Säkerhetsanalytiker tror att Interlock kan vara en avknoppning från det Rysslandsrelaterade Rhysida-gänget. Likheterna i krypteringsverktyg, RAT-beteende och utpressningstaktik är påtagliga.
Sedan januari 2025 har gruppen hävdat minst 35 offer, varav mer än hälften under de senaste sex veckorna, enligt Cybernews.
Vad organisationer bör göra
CISA uppmanar till omedelbara åtgärder och rekommenderar:
- Robust EDR-lösningar
- Frekventa patchar
- Multifaktorautentisering
- Strikt nätverkssegmentering
Nick Tausek från Swimlane understryker också vikten av medvetenhet hos anställda:
”Social engineering är den svaga punkten. Att utbilda användare är lika viktigt som att patcha brandväggar.”
Slutsats
Ökningen av Interlock-ransomwareattacker visar hur snabbt dagens hot utvecklas. Med avancerade taktiker och snabbrörliga kampanjer måste organisationer ligga steget före med lager av försvar, tydliga rutiner och utbildad personal. För år 2025 knackar ransomware inte – det klickar.
0 svar till ”Interlock-ransomwareattacker ökar kraftigt i Nordamerika och Europa”