Ransomware Interlock
Interlock es un nuevo ransomware que se ha detectado, empezó su actividad desde octubre del año 2024 y ha ganado notoriedad rápidamente debido a sus técnicas y tácticas de ataque y extorsión. Este ransomware se destaca por emplear tácticas de doble extorsión, lo que significa que no solo cifra los archivos de la víctima, sino que también exfiltra información crítica para presionar a las organizaciones afectadas a pagar el rescate.
Se ha identificado que este ransomware ataca a víctimas de diversos sectores empresariales pero se ha monitoreado más actividad en los sectores de educación, manufactura, salud, gobierno y victimas del sector público. Su modelo de ataque sigue patrones ya conocidos de otros ransomwares, pero con ciertas particularidades que lo hacen más peligroso y difícil de detectar.
Interlock emplea múltiples técnicas y tácticas para infiltrarse en los sistemas de sus víctimas, incluyendo correos electrónicos de phishing con archivos adjuntos maliciosos o enlaces a sitios comprometidos, la explotación de vulnerabilidades en software desactualizado, especialmente en sistemas RDP y servidores web, también utilizan credenciales robadas para acceder a redes internas de las víctimas. Una vez dentro del sistema utiliza herramientas como Mimikatz y Cobalt Strike para extraer credenciales y moverse lateralmente en la red comprometida. También emplea técnicas de escalación de privilegios para obtener acceso de administrador, lo que le permite deshabilitar herramientas de seguridad y reforzar su presencia en la infraestructura atacada. Después de escalar privilegios buscan información crítica para posteriormente exfiltrar y cifrarla. Como parte de su método de doble extorsión el grupo amenazan a sus víctimas con publicar la información comprometida en su sitio de filtración si la víctima no paga el rescate.
[1] Sitio oficial del ransomware interlock
Este ransomware también emplea algunas tácticas para dificultar la recuperación del sistema de las víctimas, como desactivar funciones de recuperación de Windows, eliminación de las copias de seguridad y des habilitación de herramientas de restauración del sistema. Además, crea tareas programadas y modifican las claves de registro para asegurar su persistencia en el sistema infectado.
Este ransomware ha afectado principalmente a víctimas en países como Estados Unidos, Canadá, Reino Unido, Italia, Australia y Alemania, enfocándose en victimas que dependen críticamente de sus sistemas tecnológicos. Los atacantes monitorean a sus próximas victimas para asegurarse que puedan pagar grandes cantidades para rescatar la información comprometida.
Taxonomía
|
Táctica |
ID de la técnica |
Nombre |
|
Initial Access |
T1078 |
Valid Accounts |
|
T1189 |
Drive-by Compromise |
|
|
T1190 |
Exploit Public-Facing Application |
|
|
Execution |
T1059.001 |
Command and Scripting Interpreter: PowerShell |
|
T1129 |
Shared Modules |
|
|
T1204 |
User Execution |
|
|
Persistent |
T1547.001 |
Registry Run Keys/Startup Folder |
|
T1078 |
Valid Accounts |
|
|
Defense Evasion |
T1027 |
Obfuscated Files or Information |
|
T1027.002 |
Obfuscated Files or Information: Software Packing |
|
|
T1036.005 |
Match Legitimate Name or Location |
|
|
T1562.001 |
Disable or Modify Tools |
|
|
T1620 |
Reflective Code Loading |
|
|
Discovery |
T1007 |
System Service Discovery |
|
T1049 |
System Network Connections Discovery |
|
|
Impact |
T1485 |
Data Destructuction |
Indicadores de compromiso
|
IOC |
Tipo |
|
212.237.217.182 |
IP |
|
216.245.184.181 |
IP |
|
6d034dca42ffea354a20cd15d3f2ffd5 |
MD5 |
|
e11d147dad6e47a1cecb1f2755f95a55 |
MD5 |
|
f76d907ca3817a8b2967790315265469 |
MD5 |
|
f7f679420671b7e18677831d4d276277 |
MD5 |
|
1cb6a93e6d2d86d3479a1ea59f7d5b258f1c5c53 |
SHA1 |
|
2b681481488d4027736c94057c28929fd9f95d9b |
SHA1 |
|
5cc81e0df62e0d68710e14b31e2270f2ec7ed166 |
SHA1 |
|
8a38825ee33980a27ab6970e090a30a46226f752 |
SHA1 |
|
28c3c50d115d2b8ffc7ba0a8de9572fbe307907aaae3a486aabd8c0266e9426f |
SHA256 |
|
a26f0a2da63a838161a7d335aaa5e4b314a232acc15dcabdb6f6dbec63cda642 |
SHA256 |
|
e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1 |
SHA256 |
|
f00a7652ad70ddb6871eeef5ece097e2cf68f3d9a6b7acfbffd33f82558ab50e |
SHA256 |
|
008a8c6d9e40a2a4d3a4f5eaae933458 |
MD5 |
|
0370bb98a484927c0f92d56dc4df570b |
MD5 |
|
0553d85e6e17dbf02742a4030fda644f |
MD5 |
|
0952cf9ce25dbfb02211ce61f5db7e47 |
MD5 |
|
0be5482af8c6870747807965eb630e12 |
MD5 |
|
0c9a6ae1bda14f96ce7b9d88887d764c |
MD5 |
|
1228b5779da12a0d900eab595f588324 |
MD5 |
|
160a58e31a742d0c95ebd0057f0498c4 |
MD5 |
|
184037959e93d3bc03ace947c4585f1f |
MD5 |
|
18d483be5e649178149b630d472a1ea7 |
MD5 |
|
194caa8fac0504df0a2e2db915bc4f23 |
MD5 |
|
1a31fc2b5f0a071d2de1b0d0a4438a3a |
MD5 |
|
1d19112b64c20319270a29785f518c10 |
MD5 |
|
1ec0fd382727a099214801b0734ab7a2 |
MD5 |
|
1ef9214ad4e3f8f993ecdac3bc61aeeb |
MD5 |
|
2366128c20f42ee819251747eb3199a4 |
MD5 |
|
24240209923c617d65b38d9ff4a9753a |
MD5 |
|
2aa92c59e9578ca3df36abedc126c8c0 |
MD5 |
|
3104efb23ea174ac5eda9f5fd0e8c077 |
MD5 |
|
36603966a6a70eab4b1584620c1bd84a |
MD5 |
|
3f137dc2b12e814cbd21494f4903303b |
MD5 |
|
3fc7ef3d26ec5fc302ae736989927f25 |
MD5 |
|
42cd1fedca04622419429080e92c03ef |
MD5 |
|
4435a7326a011633c755976466405b08 |
MD5 |
|
451886c420f85eba28c3a3cd477c7ab7 |
MD5 |
|
4637618b72fb33d00825d2f1698b6745 |
MD5 |
|
49729c01a4ce598341074f4b9cb20d9f |
MD5 |
|
4db4b2463cc95483b7c6a2539caee516 |
MD5 |
|
4f0e732b9faf24c2e09cea6dbb56cc1c |
MD5 |
|
5268d1d538d99f10da94b3d1649fbe72 |
MD5 |
|
587fa2970c19cd55bc4c2bbe984d731f |
MD5 |
|
5e4ab806083846e65d20d04ff3cfccbe |
MD5 |
|
631d393910f71724d0f295e38898c986 |
MD5 |
|
634a9af8d3f2fa0d38820d577fb0fbeb |
MD5 |
|
64d3de7ed78114b1dc13d3bb6e763149 |
MD5 |
|
658d49874a0a8f1db4387e4ba43ab3d3 |
MD5 |
|
6724cc0d4e39300f1cbc01239eeee266 |
MD5 |
|
686c57adc6199971e61975983752f24f |
MD5 |
|
6c3b2558fc8cfcb2751437b6e5cdeb6f |
MD5 |
|
73d71362933a62e3382560e041016477 |
MD5 |
|
7a5af6b8cc4b94cf0af8ae8bd56224f3 |
MD5 |
|
8003cc48f1c7641d07e43804080b2ed7 |
MD5 |
|
8bf60bab86b0f501aecd48308b1d2c18 |
MD5 |
|
972f2662b15d61597e3ce84293b1f8e9 |
MD5 |
|
973c5dd1b4786c11a654e27b9e4ebec5 |
MD5 |
|
9b5920cd3d680926025d804e0cfbe0b3 |
MD5 |
|
a6a43204968bae89c4c4157b1b5be9fd |
MD5 |
|
a9097cbe4d9b09d26d95ac3338d78abe |
MD5 |
|
b279f213971aa11b9de648bce28dec02 |
MD5 |
|
b935896b98f689367165994b5f2d6a88 |
MD5 |
|
bc4902089a22379268085428727d780c |
MD5 |
|
bf70fb955bf138a71be3018a6a03c347 |
MD5 |
|
c1846f9b6ea365c61dbc7c2c9b0e44c0 |
MD5 |
|
c5e583edaa38d42ac6d84868b0792eee |
MD5 |
|
ce81cf46626bf3708fb707f387c9d97d |
MD5 |
|
d385fe93627ec332fb045cfb6a50298a |
MD5 |
|
d5821c3e83a71698667038ff954f31f5 |
MD5 |
|
de87dbf8445090ff7c92648094bbbcde |
MD5 |
|
ea937d71ab96f033f9d7af4ebba2dc52 |
MD5 |
|
f053612bca3337a2abb20ed65c1534b7 |
MD5 |
|
f37c40f02c39d37c30606ef98f9552ca |
MD5 |
|
f3f763d4bd3a1902965996f8fd73bc74 |
MD5 |
|
f4ae10ad2532db6496e2e0f70d694b88 |
MD5 |
|
f73005682c1d90f4b3269483b687e891 |
MD5 |
|
04abb10c5d89d0bb5078b0554cc4f7ac840251e6 |
SHA1 |
|
067413217b8e87e85d74edb79609c590f00f1335 |
SHA1 |
|
17fea856119b6b332c94218e07f6d3dd7dfd0664 |
SHA1 |
|
25892dd9cb2ac5b6a84a995c828739751543c3e4 |
SHA1 |
|
25971efd02c0cb95889a76f30257551c13a03f55 |
SHA1 |
|
277a4203fcf20e87f2748fe58bbe8eb3c5c21162 |
SHA1 |
|
28c2d7a25ae0c25b1cef31b7407b40cf59c11c88 |
SHA1 |
|
2950e67318b9aef887cb50b7a97de5365e3c20ae |
SHA1 |
|
2e70dd9e213804a55405c11ae064f30d088b5db3 |
SHA1 |
|
2e9ddd7088199d669391fbc26e8161833bf6ec90 |
SHA1 |
|
2ff5003ec4ab5e937ab47eefc0deea2855451886 |
SHA1 |
|
3367f3392fcda4725af0ce4f564901e4b34f3c2f |
SHA1 |
|
37d3c9b5e1e0f70c24a990c75e37953639017098 |
SHA1 |
|
3ab860135a21c1a6a17fbf761b85b4ac59201add |
SHA1 |
|
3e4b50269bc38cd14aa7472280ad804224a8700c |
SHA1 |
|
42017831ffdf74d61616628109fdc134620c1b56 |
SHA1 |
|
42c0af54d2485393576def0611ff7949f5b9a7dd |
SHA1 |
|
453584d662d9f70fac8b74f1fd4ac448509da205 |
SHA1 |
|
466d8fc79fa50873253b3904fefc6229a3a3cecb |
SHA1 |
|
46d91cebc5ecc195a45211eadd8b55f3e8b0e885 |
SHA1 |
|
496f08cf3c3817819504ed655b2c7e6f4acdc893 |
SHA1 |
|
4aa27bf23ba647a24e7517cc21dc2080b90bb7c2 |
SHA1 |
|
4ed5f0174326c083ac179de9fc8005ffc4540b35 |
SHA1 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Interlock Ransomware Group: Tactics, Targets & Mitigation. (2025, 22 julio). Cyble.Recuperado el 24 de Julio del 2025, en: https://cyble.com/threat-actor-profiles/interlock-ransomware-group/
- Ransomware roundup - Interlock | FortiGuard Labs. (2024, Noviembre 29). Fortinet Blog. Recuperado el 24 de Julio del 2025, en: https://www.fortinet.com/blog/threat-research/ransomware-roundup-interlock
- Biasiotto, E. (2024, Diciembre 12). Unwrapping the emerging Interlock ransomware attack. Cisco Talos Blog. Recuperado el 24 de Julio del 2025, en: https://blog.talosintelligence.com/emerging-interlock-ransomware/
- Meskauskas, T. (2024, Noviembre 12). Interlock ransomware. Desencriptado, Eliminación y Recuperación de Archivos Perdidos. Recuperado el 24 de Julio del 2025, en: https://www.pcrisk.es/guias-de-desinfeccion/13222-interlock-ransomware
