FBI und CISA warnen vor Interlock-Ransomware, die auf kritische Infrastrukturen abzielt

Das Federal Bureau of Investigation (FBI) hat gemeinsam mit der Cybersecurity and Infrastructure Security Agency (CISA), dem Department of Health and Human Services (HHS) und dem Multi-State Information Sharing and Analysis Center (MS-ISAC) eine Warnung vor verstärkten Aktivitäten der Interlock-Ransomware -Gruppe herausgegeben.

Diese finanziell motivierte Bedrohung zielt auf eine breite Palette von Organisationen ab, darunter Unternehmen und wichtige Infrastrukturen in Nordamerika und Europa. Dabei wird ein gefährliches Modell der doppelten Erpressung eingesetzt, um den Druck auf die Opfer zu maximieren.

Die Interlock-Ransomware wurde erstmals Ende September 2024 entdeckt. FBI-Ermittlungen aus dem Juni 2025 belegen ihre sich entwickelnden Taktiken . Die Gruppe entwickelt Verschlüsselungsprogramme für Windows- und Linux-Betriebssysteme, insbesondere für die Verschlüsselung virtueller Maschinen (VMs). Open-Source-Berichte deuten zudem auf Ähnlichkeiten zwischen Interlock und der Rhysida-Ransomware -Variante hin.

Diese Gruppe zeichnet sich durch ihre anfänglichen Zugriffstechniken aus, die sich von denen vieler Ransomware-Gruppen unterscheiden. Eine beobachtete Methode umfasst Drive-by-Downloads von legitimen, aber kompromittierten Websites. Dabei wird Schadsoftware als gefälschte Updates für gängige Webbrowser wie Google Chrome oder Microsoft Edge oder sogar gängige Sicherheitstools wie FortiClient oder Cisco-Secure-Client getarnt.

Darüber hinaus nutzen sie einen Social-Engineering-Trick namens ClickFix, bei dem Benutzer dazu verleitet werden, schädliche Dateien auszuführen, indem sie auf gefälschte CAPTCHAs klicken, die sie anweisen, schädliche Befehle in das Ausführungsfenster ihres Systems einzufügen und auszuführen.

Sobald die Ransomware in ein Netzwerk eingedrungen ist, nutzt sie Webshells und Tools wie Cobalt Strike, um die Kontrolle zu erlangen, sich zwischen Systemen zu bewegen und vertrauliche Informationen zu stehlen. Sie sammelt Anmeldedaten wie Benutzernamen und Passwörter und nutzt sogar Keylogger, um Tastatureingaben aufzuzeichnen.

Laut der Warnung (PDF) verschlüsselt Interlock nach dem Datendiebstahl Systeme und fügt Dateien mit der Erweiterung .interlock oder .1nt3rlock hinzu. Anschließend fordert die Gruppe Lösegeld, ohne den ursprünglichen Betrag in der Nachricht anzugeben. Stattdessen werden die Opfer angewiesen, über eine spezielle .onion-Website im Tor-Browser Kontakt mit Interlock aufzunehmen. Die Gruppe droht mit der Veröffentlichung der exfiltrierten Daten, falls das Lösegeld, das üblicherweise in Bitcoin gezahlt wird, nicht gezahlt wird – eine Drohung, die sie konsequent wahr macht.

Um der Interlock-Bedrohung entgegenzuwirken, fordern Bundesbehörden Organisationen dringend auf, sofortige Sicherheitsmaßnahmen zu ergreifen. Zu den wichtigsten Abwehrmaßnahmen gehören:

• Verhindern Sie den ersten Zugriff durch den Einsatz von DNS-Filtern und Web-Access-Firewalls und schulen Sie Ihre Mitarbeiter darin, Social-Engineering-Versuche zu erkennen.

• Durch Patchen und Aktualisieren wird sichergestellt, dass alle Betriebssysteme, Software und Firmware auf dem neuesten Stand sind. Bekannte Schwachstellen werden dabei priorisiert.

• Implementierung einer starken Authentifizierung, wie beispielsweise Multi-Faktor-Authentifizierung (MFA) für alle Dienste, wo möglich, zusammen mit strengeren Richtlinien zur Identitäts- und Zugriffsverwaltung.

• Netzwerkkontrolle durch Segmentierung von Netzwerken, um die Verbreitung von Ransomware einzuschränken.

• Sicherung und Wiederherstellung durch die Pflege mehrerer, unveränderlicher Offline-Sicherungen aller kritischen Daten.

Darüber hinaus stehen im Rahmen der laufenden Initiative #StopRansomware kostenlose Ressourcen zur Verfügung.