En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe.
Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux.
Les méthodes d’accès initiales employées par ces acteurs incluent le drive-by download à partir de sites web légitimes compromis, une technique relativement rare parmi les groupes de ransomware. De plus, ils utilisent la technique d’ingénierie sociale ClickFix, incitant les victimes à exécuter une charge utile malveillante sous prétexte de résoudre un problème sur leur système.
Une fois l’accès initial obtenu, les acteurs procèdent à des actions de découverte, d’accès aux identifiants, et de mouvement latéral pour se propager à d’autres systèmes au sein du réseau.
Cet article constitue une analyse de menace visant à informer sur les méthodes et l’impact potentiel de cette variante de ransomware.
🧠 TTPs détectés
TTP
T1189: Drive-by Compromise, T1203: Exploitation for Client Execution, T1078: Valid Accounts, T1087: Account Discovery, T1071: Application Layer Protocol, T1021: Remote Services
🔗 Source originale : https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a