InterLock — это ransomware с моделью double extortion, который сочетает эксфильтрацию данных с последующим шифрованием и использует Tor-based leak site для давления на жертв. По данным анализа, операция действует как минимум с октября 2024 года и демонстрирует редкую для ransomware группу степень технологической согласованности: один и тот же набор компонентов разворачивается в разных operating systems, включая FreeBSD/ESXi и Windows.
Последний отчет основан на изучении 15 samples и показывает, что экосистема InterLock включает four MSI ScreenConnect installers, универсальный WebSocket backdoor под названием NodeSnake, credential stealer и несколько ransomware binaries. Основные цели операции — здравоохранение, образование, government и enterprise-структуры в разных странах.
NodeSnake: ключевой компонент инфраструктуры
NodeSnake занимает центральное место в операциях InterLock. Этот backdoor разработан сразу на трех языках программирования — JavaScript for Node.js, Java и C++. Несмотря на различия в реализации, все варианты используют сходный communication protocol и шифрование RC4 для сообщений.
Такое сходство указывает на общий build pipeline. Дополнительным подтверждением служит то, что различные реализации NodeSnake используют идентичные C2 IP addresses. Иными словами, речь идет не о наборе разрозненных tools, а о согласованной инфраструктуре, где компоненты проектируются как части единой системы.
C2-инфраструктура и relay chain
Инфраструктура command-and-control построена на одноразовых WebSocket relays, использующих Cloudflare tunnel endpoints. Подключение проходит через три общих IP-адреса, которые не помечены как malicious. Это усложняет блокировку и attribution, поскольку вредоносный трафик маскируется под обычные сетевые соединения.
Такой подход показывает, что InterLock делает ставку не только на шифрование и вымогательство, но и на устойчивую операционную архитектуру, рассчитанную на длительное скрытное присутствие в сетях жертв.
Как работает ransomware
Сама ransomware-часть InterLock использует AES-256-CBC для шифрования. Однако исследователи выявили потенциальную weakness в механизме генерации random numbers: он комбинирует результаты rand() и clock(). Из-за предсказуемости этих источников существует вероятность, что decryptors смогут восстановить keys при наличии достаточно точных временных данных.
После шифрования файлы получают расширение .interlock. Жертвам также оставляют ransom note и защищенный URL для переговоров о выкупе.
NtlmThief и кража учетных данных
Еще один важный элемент экосистемы — NtlmThief. Это вредоносное ПО предназначено для сбора NTLM credentials и использует local security interfaces, не нуждаясь в сетевых возможностях. Такой инструмент особенно опасен в сочетании с backdoor-компонентами: он позволяет злоумышленникам расширять доступ и готовить дальнейшее перемещение внутри инфраструктуры.
По данным анализа, запуск NtlmThief может инициироваться через NodeSnake. Это еще раз подтверждает, что в InterLock компоненты связаны между собой не случайно, а встроены в единую operational chain.
crypter framework как средство уклонения от detection
В операционном плане InterLock использует crypter framework, который инкапсулирует как ransomware, так и NodeSnake backdoors. Такой framework поддерживает похожие decryption loops и delivery strategies, помогая payload’ам избегать detection и одновременно сохранять гибкую, но устойчивую command structure.
Защитникам, сталкивающимся с оболочкой crypter, связанной с InterLock, следует учитывать наличие как backdoor, так и ransomware-функций.
Что это значит для defenders
InterLock выделяется не только масштабом, но и системностью. Систематическое дублирование infrastructure, methods и shared code делает эту угрозу особенно сложной для анализа и противодействия. Для defenders это означает необходимость рассматривать инцидент не как отдельное заражение ransomware, а как многоэтапную кампанию, в которой exfiltration, credential theft, remote access и encryption работают как единая цепочка.
- double extortion с предшествующей эксфильтрацией данных;
- развертывание на FreeBSD/ESXi и Windows;
- единая C2-архитектура для нескольких реализаций NodeSnake;
- использование AES-256-CBC и потенциально предсказуемого RNG;
- интеграция NtlmThief для сбора NTLM credentials;
- crypter framework для сокрытия payload’ов и обхода detection.
В совокупности эти признаки формируют картину зрелой и технологически продуманной cyber threat operation, ориентированной на долгосрочную скрытность, устойчивость к обнаружению и максимизацию давления на жертв. Именно поэтому InterLock сегодня рассматривается как одна из наиболее организованных ransomware-активностей, сочетающих техническую гибкость и операционную дисциплину.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "InterLock: вымогатель с двойным шантажом и бэкдором NodeSnake".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.