Le ransomware Interlock déploie un nouveau RAT NodeSnake lors d'attaques au Royaume-Uni

La société de cybersécurité Quorum Cyber ​​a découvert deux nouvelles versions du logiciel malveillant NodeSnake. Cette découverte met en évidence un possible changement de cible pour le groupe de rançongiciels Interlock, soupçonné d'être à l'origine de ces attaques.

L'équipe Threat Intelligence de Quorum Cyber ​​suit NodeSnake et est convaincue qu'il est lié au rançongiciel Interlock . Ce lien repose sur l'infrastructure en ligne partagée utilisée par les attaquants.

L'équipe a constaté l'utilisation d'un code malveillant similaire lors d'attaques contre deux universités au Royaume-Uni en l'espace de deux mois. Les mêmes attaquants ont probablement installé les deux RAT NodeSnake dans ces universités. De plus, les deux variantes de NodeSnake appartiennent à la même famille, la plus récente présentant des améliorations significatives.

Selon une étude de Quorum Cyber, partagée avec Hackread.com, NodeSnake est un type de cheval de Troie d'accès à distance (RAT). Les RAT sont dangereux car ils permettent aux attaquants de prendre le contrôle des ordinateurs infectés à distance. Cela signifie que les attaquants peuvent accéder aux fichiers, surveiller les activités des utilisateurs, modifier les paramètres de l'ordinateur et même voler ou supprimer des informations importantes à distance, tandis que les RAT restent cachés dans le système et peuvent même introduire d'autres programmes malveillants.

Le rançongiciel Interlock, apparu pour la première fois en septembre 2024, cible généralement les grandes entreprises ou les organisations de grande valeur en Amérique du Nord et en Europe. Ce groupe est connu pour ses tactiques de double extorsion , consistant à chiffrer les données et à menacer de les divulguer sans paiement d'une rançon.

Contrairement à de nombreux autres groupes de rançongiciels, Interlock n'opère pas en tant que service pour d'autres et n'a pas de partenaires connus. Il peut attaquer les systèmes Linux et Windows, ce qui lui offre un large éventail de cibles.

Cependant, des activités récentes suggèrent qu'Interlock cible désormais également les collectivités locales et les établissements d'enseignement supérieur. En avril 2025, Hackread.com a signalé qu'Interlock avait volé la somme impressionnante de 20 téraoctets (To) de données sensibles de patients à DaVita Healthcare , un important prestataire de soins de santé spécialisé dans la dialyse rénale.

Ce changement de cibles est préoccupant. Comme l'explique Paul Caiazzo, responsable des menaces chez Quorum Cyber : « Nous avons observé cette année une augmentation du nombre d'acteurs malveillants ciblant les universités pour exfiltrer de précieuses propriétés intellectuelles, notamment des données de recherche, et éventuellement pour tester et perfectionner de nouvelles tactiques, techniques et procédures avant de les appliquer potentiellement à d'autres secteurs. »

Caiazzo a ajouté que le vol de données de recherche suggère une motivation liée à l'espionnage. Quorum Cyber ​​continue de surveiller Interlock et NodeSnake pour aider les organisations à protéger leurs informations importantes. L'entreprise propose une analyse technique détaillée et des recommandations pour atténuer l'impact du malware dans son rapport NodeSnake, disponible ici .