Le FBI et la CISA mettent en garde contre le ransomware Interlock ciblant les infrastructures critiques

Le Federal Bureau of Investigation (FBI), en collaboration avec la Cybersecurity and Infrastructure Security Agency (CISA), le Department of Health and Human Services (HHS) et le Multi-State Information Sharing and Analysis Center (MS-ISAC), a émis un avertissement concernant l'activité accrue du groupe de ransomware Interlock .

Cette menace à motivation financière cible un large éventail d’organisations, notamment des entreprises et des infrastructures critiques vitales en Amérique du Nord et en Europe, en utilisant un modèle dangereux de double extorsion pour maximiser la pression sur les victimes.

Le rançongiciel Interlock a été détecté pour la première fois fin septembre 2024, et des enquêtes du FBI datant de juin 2025 ont détaillé l'évolution de ses tactiques . Le groupe développe des chiffreurs pour les systèmes d'exploitation Windows et Linux, avec une attention particulière portée au chiffrement des machines virtuelles (VM). Des rapports open source suggèrent également des similitudes entre Interlock et la variante du rançongiciel Rhysida .

Ce groupe se distingue par ses techniques d'accès initiales, différentes de celles de nombreux groupes de rançongiciels. L'une des méthodes observées consiste à effectuer des téléchargements furtifs depuis des sites web légitimes mais compromis, où les logiciels malveillants se font passer pour de fausses mises à jour de navigateurs web populaires comme Google Chrome ou Microsoft Edge, voire d'outils de sécurité courants comme FortiClient ou Cisco-Secure-Client.

De plus, ils exploitent une astuce d'ingénierie sociale appelée ClickFix, où les utilisateurs sont amenés à exécuter des fichiers nuisibles en cliquant sur de faux CAPTCHA qui leur demandent de coller et d'exécuter des commandes malveillantes dans la fenêtre d'exécution de leur système.

Une fois à l'intérieur d'un réseau, le rançongiciel déploie des interfaces web et des outils comme Cobalt Strike pour prendre le contrôle, se déplacer entre les systèmes et voler des informations sensibles. Il collecte des informations de connexion, notamment des noms d'utilisateur et des mots de passe, et utilise même des enregistreurs de frappe pour enregistrer les frappes.

Selon l' avis (PDF), après avoir volé des données, Interlock chiffre les systèmes et ajoute des fichiers portant l'extension .interlock ou .1nt3rlock . Ils exigent ensuite une rançon sans indiquer de montant initial, mais demandent aux victimes de les contacter via un site web .onion dédié via le navigateur Tor . Le groupe menace de divulguer les données exfiltrées si la rançon, généralement versée en Bitcoin, n'est pas versée, une menace qu'ils ont toujours mise à exécution.

Pour contrer la menace des dispositifs de verrouillage, les agences fédérales exhortent les organisations à mettre en œuvre immédiatement des mesures de sécurité. Les principales mesures de protection comprennent :

• Prévenir l’accès initial en utilisant le filtrage DNS et les pare-feu d’accès Web, et former les employés à repérer les tentatives d’ingénierie sociale.

• Correction et mise à jour pour garantir que tous les systèmes d'exploitation, logiciels et micrologiciels sont à jour, en donnant la priorité aux vulnérabilités connues.

• Mise en œuvre d’une authentification forte, comme l’authentification multifacteur (MFA) pour tous les services lorsque cela est possible, ainsi que des politiques de gestion des identités et des accès plus strictes.

• Contrôle du réseau en segmentant les réseaux pour limiter la propagation des ransomwares.

• Sauvegarde et récupération en conservant plusieurs sauvegardes hors ligne et immuables (inchangeables) de toutes les données critiques.

Des ressources gratuites sont également disponibles grâce à l’initiative en cours #StopRansomware .