INTERLOCK

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Amazon Threat Intelligence a découvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique. 🔍 Contexte Le 21 mars 2026, Amazon Threat Intelligence a publié sur le blog de sécurité AWS une analyse technique détaillée d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnérabilité critique dans Cisco Secure Firewall Management Center (FMC) Software. ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Selon The Record, le gang de ransomware Interlock revendique une cyberattaque qui a perturbé les opérations du gouvernement de la ville de St. Paul, Minnesota. 🚨 Acteur: Interlock (groupe de ransomware) 🎯 Cible: Gouvernement municipal de St. Paul (Minnesota, USA) ⚠️ Impact annoncé: Perturbation des opérations 🗣️ Source: Article de presse spécialisé de The Record rapportant la revendication du groupe Une attaque par ransomware a ciblé l’administration municipale de St. Paul (Minnesota), selon le groupe Interlock, mis en garde le mois précédent par le FBI. Ce gang affirme avoir volé 43 Go de données, sans communiquer de demande de rançon ni de délai de paiement. Les autorités locales n’ont pas commenté, mais le maire Melvin Carter précise que les données des employés municipaux sont au cœur des préoccupations, tandis que les données des résidents, hébergées dans une application cloud, n’ont pas été touchées. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake. 💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système. ...

Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur. Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret. ...

Le gang de ransomware connu sous le nom d’Interlock a revendiqué une cyberattaque sur la société de dialyse rénale DaVita. Selon l’annonce du gang, ils ont réussi à voler et divulguer des données de l’organisation. DaVita, une entreprise majeure dans le domaine de la dialyse rénale, est donc la dernière victime en date de ce type d’attaque. Le type précis de données volées n’a pas été précisé dans l’annonce. Logo du gang de ransomware Interlock ...

Selon un rapport de l’Insikt Group publié le 24 avril 2025, plusieurs acteurs malveillants utilisent un TDS malveillant, dont les groupes de ransomware Rhysida et Interlock. Rhysida, une opération sophistiquée de ransomware en tant que service, est connue pour extorquer des organisations de santé et d’autres infrastructures critiques. En 2023, le groupe a revendiqué une attaque contre Prospect Medical Holdings, entraînant le vol de plus de 500 000 numéros de sécurité sociale et perturbant les opérations de dix-sept hôpitaux et 166 cliniques. Interlock, un autre groupe de ransomware, cible principalement les organisations de santé et d’autres ‘gros poissons’ pour extorquer des paiements plus élevés grâce à des attaques à fort impact sur de grandes organisations. En décembre 2024, le groupe a revendiqué une attaque contre le Texas Tech University Health Sciences Center, volant 2,6 To de données personnelles sensibles. Interlock partage de nombreuses similitudes avec Rhysida, telles que les tactiques, les outils et les comportements de chiffrement, bien que la relation exacte entre les deux reste inconnue. ...