新兴勒索软件组织 Interlock 在 2025 年初调整其攻击策略,采用 ClickFix 社会工程技术和信息窃取器(infostealers)来增强攻击效果。
Interlock 于 2024 年 9 月末首次被发现,截至目前已确认的受害者数量为 24 个,其中包括 2025 年的 6 个新受害者。尽管受害者数量相对较少,但其攻击影响深远,例如对德克萨斯理工大学健康科学中心的攻击导致近 150 万名患者数据被泄露。
Sekoia 指出,Interlock 独立运作,并非勒索软件即服务(RaaS)平台或其附属组织。该组织主要通过伪装成软件更新程序的方式诱骗受害者下载恶意软件。2025 年 1 月起,Interlock 开始使用伪装成 FortiClient、Ivanti Secure Access、Palo Alto Networks GlobalProtect 等安全软件更新的手段进行攻击。
同月,Sekoia 观察到 Interlock 利用名为 ClickFix 的社会工程技术,该技术通过伪造的 CAPTCHA 提示诱导受害者在 Windows 终端中复制并粘贴 PowerShell 命令。这一技术自 2024 年 8 月以来日益流行,朝鲜黑客组织 Lazarus 也曾在其 ClearFake 信息窃取活动中使用该技术。
Interlock 利用被攻陷的合法网站推广其伪装的更新程序,并展示伪造的 Cloudflare CAPTCHA,指示受害者复制并粘贴恶意命令以继续操作。在这些 ClickFix 活动中,PowerShell 命令安装了一个包含嵌入式脚本的 PyInstaller 文件,该脚本用于部署 PowerShell 后门。该命令还会在浏览器中打开合法的 Advanced IP Scanner 网页,以误导用户。
Sekoia 指出,尚未观察到通过该后门安装或执行其他有效载荷,表明 Interlock 可能在试验这一社会工程技术。然而,除了勒索软件外,Interlock 还在其攻击活动中使用了键盘记录器和信息窃取器。自 2025 年 1 月和 2 月起,Interlock 分别将 BerserkStealer 和 LummaStealer 添加到其工具库中。LummaStealer(又称 LummaC2)是一种自 2022 年以来被观察到的流行恶意软件即服务(MaaS)产品。
Sekoia 的研究人员写道:“Interlock 持续改进其工具和方法,反映出其在保持相关性的同时,避免像 FunkSec 等更活跃的勒索软件组织所带来的大规模曝光。”
除了这些不断演进的战术外,Interlock 一直使用其自定义的 Windows 和 Linux 勒索软件,以及一种名为 Interlock RAT 的新型远程访问特洛伊木马(RAT)后门。该组织主要利用远程桌面协议(RDP)和从其信息窃取器中获取的凭据进行横向移动,还使用 PuTTY 和 AnyDesk 进行远程访问。
最近,Interlock 修改了其勒索信,强调如果被盗数据被泄露,受害公司可能面临法律责任。本月早些时候,Interlock 声称对 National Defense Corporation发动了攻击,声称在此次攻击中窃取了近 300 万个文件。
