Interlock

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake. 💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système. ...

Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur. Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret. ...

Le gang de ransomware connu sous le nom d’Interlock a revendiqué une cyberattaque sur la société de dialyse rénale DaVita. Selon l’annonce du gang, ils ont réussi à voler et divulguer des données de l’organisation. DaVita, une entreprise majeure dans le domaine de la dialyse rénale, est donc la dernière victime en date de ce type d’attaque. Le type précis de données volées n’a pas été précisé dans l’annonce. Logo du gang de ransomware Interlock ...

Selon un rapport de l’Insikt Group publié le 24 avril 2025, plusieurs acteurs malveillants utilisent un TDS malveillant, dont les groupes de ransomware Rhysida et Interlock. Rhysida, une opération sophistiquée de ransomware en tant que service, est connue pour extorquer des organisations de santé et d’autres infrastructures critiques. En 2023, le groupe a revendiqué une attaque contre Prospect Medical Holdings, entraînant le vol de plus de 500 000 numéros de sécurité sociale et perturbant les opérations de dix-sept hôpitaux et 166 cliniques. Interlock, un autre groupe de ransomware, cible principalement les organisations de santé et d’autres ‘gros poissons’ pour extorquer des paiements plus élevés grâce à des attaques à fort impact sur de grandes organisations. En décembre 2024, le groupe a revendiqué une attaque contre le Texas Tech University Health Sciences Center, volant 2,6 To de données personnelles sensibles. Interlock partage de nombreuses similitudes avec Rhysida, telles que les tactiques, les outils et les comportements de chiffrement, bien que la relation exacte entre les deux reste inconnue. ...