Interlock Ransomware setzt bei Angriffen in Großbritannien neues NodeSnake RAT ein
Das Cybersicherheitsunternehmen Quorum Cyber hat zwei neue Versionen der Schadsoftware NodeSnake entdeckt. Diese Entdeckung deutet auf eine mögliche Verschiebung der Ziele der Ransomware-Gruppe Interlock hin, die vermutlich hinter diesen Angriffen steckt.
Das Threat Intelligence-Team von Quorum Cyber hat NodeSnake beobachtet und ist fest davon überzeugt, dass es mit der Interlock-Ransomware in Verbindung steht. Diese Verbindung basiert auf der gemeinsamen Online-Infrastruktur der Angreifer.
Das Team stellte fest, dass innerhalb von zwei Monaten bei Angriffen auf zwei Universitäten in Großbritannien ähnlicher Schadcode verwendet wurde. Dieselben Angreifer platzierten wahrscheinlich beide NodeSnake-RATs an diesen Universitäten. Darüber hinaus stammen die beiden NodeSnake-Varianten aus derselben Familie, wobei die neuere deutliche Verbesserungen aufweist.
Laut einer Studie von Quorum Cyber, die Hackread.com vorliegt, handelt es sich bei NodeSnake um einen Remote Access Trojaner (RAT). RATs sind gefährlich, da sie es Angreifern ermöglichen, aus der Ferne die Kontrolle über infizierte Computer zu übernehmen. Das bedeutet, dass Angreifer auf Dateien zugreifen, Benutzeraktivitäten beobachten, Computereinstellungen ändern und sogar wichtige Informationen aus der Ferne stehlen oder löschen können, während die RATs im System verborgen bleiben und sogar andere Schadprogramme einschleusen können.
Die Interlock-Ransomware, die erstmals im September 2024 auftauchte, konzentrierte sich typischerweise auf große oder wertvolle Organisationen in Nordamerika und Europa. Diese Gruppe ist für ihre doppelte Erpressungstaktik bekannt: Sie verschlüsselt Daten und droht mit deren Freigabe, wenn kein Lösegeld gezahlt wird.
Im Gegensatz zu vielen anderen Ransomware-Gruppen arbeitet Interlock nicht als Dienstleister und hat keine bekannten Partner. Die Gruppe kann sowohl Linux- als auch Windows-Computersysteme angreifen und bietet daher ein breites Spektrum an Zielen.
Jüngste Aktivitäten deuten jedoch darauf hin, dass Interlock nun auch lokale Behörden und Hochschulen ins Visier nimmt. Im April 2025 berichtete Hackread.com, dass Interlock unglaubliche 20 Terabyte (TB) an sensiblen Patientendaten von DaVita Healthcare gestohlen habe, einem großen Gesundheitsdienstleister, der auf Dialysebehandlungen spezialisiert ist.
Diese Verschiebung der Ziele ist besorgniserregend. Paul Caiazzo, Chief Threat Officer bei Quorum Cyber, erklärte: „Wir haben beobachtet, dass Bedrohungsakteure in diesem Jahr zunehmend Universitäten ins Visier nehmen, um wertvolles geistiges Eigentum, einschließlich Forschungsdaten, zu exfiltrieren und möglicherweise neue Taktiken, Techniken und Verfahren zu testen und zu verfeinern, bevor sie diese möglicherweise in anderen Sektoren anwenden.“
Caiazzo fügte hinzu, dass der Diebstahl von Forschungsdaten auf ein Spionagemotiv hindeute. Quorum Cyber überwacht weiterhin Interlock und NodeSnake, um Unternehmen beim Schutz ihrer wichtigen Informationen zu unterstützen. Das Unternehmen bietet in seinem NodeSnake-Bericht eine detaillierte technische Analyse und Empfehlungen zur Verringerung der Auswirkungen der Malware (hier verfügbar).
HackRead
