Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯
Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare.
Outils et charges utiles observés : Cobalt Strike, des RATs personnalisés (dont NodeSnake et SystemBC), ainsi qu’un ransomware déployé en priorité contre des machines virtuelles. L’analyse fournit des mappings MITRE ATT&CK, des IOCs complets et renvoie à des recommandations CISA/FBI.
Principales TTPs (sélection) :
- Initial access via sites compromis + faux updaters et ingénierie sociale ClickFix
- Exécution de PowerShell obfusqué et déploiement de backdoor
- Persistance via clés/valeurs de registre
- C2 en proxy via TryCloudflare; usage de Cobalt Strike, NodeSnake, SystemBC
- Chiffrement orienté VMs et double extorsion
IOCs mentionnés (catégories fournies par l’analyse) :
- Patrons de commandes PowerShell spécifiques
- Mécanismes de persistance (clés de registre)
- Communications réseau vers des serveurs C2 identifiés (via TryCloudflare)
- Empreintes (hashes) permettant l’identification des malwares
Il s’agit d’une analyse de menace visant à documenter les méthodes d’attaque, outillages, IOCs et mappings MITRE ATT&CK d’Interlock, avec mise en contexte d’incidents récents et renvois vers des avis CISA/FBI. 🔎
🧠 TTPs et IOCs détectés
TTPs
Initial access via compromised sites and fake updaters with social engineering (ClickFix); Execution of obfuscated PowerShell and deployment of backdoor; Persistence via registry keys/values; C2 communication using TryCloudflare as a proxy; Use of Cobalt Strike, NodeSnake, SystemBC; Encryption targeting VMs and double extortion
IOCs
Patterns of specific PowerShell commands; Registry keys for persistence; Network communications to identified C2 servers via TryCloudflare; Hashes for malware identification
🔗 Source originale : https://arcticwolf.com/resources/blog/threat-actor-profile-interlock-ransomware/