L'FBI e la CISA mettono in guardia contro il ransomware Interlock che prende di mira le infrastrutture critiche

L'FBI (Federal Bureau of Investigation), insieme alla Cybersecurity and Infrastructure Security Agency (CISA), al Department of Health and Human Services (HHS) e al Multi-State Information Sharing and Analysis Center (MS-ISAC), hanno emesso un avviso in merito all'aumento dell'attività del gruppo ransomware Interlock .

Questa minaccia motivata da motivi finanziari prende di mira un'ampia gamma di organizzazioni, tra cui aziende e infrastrutture critiche vitali in Nord America ed Europa, utilizzando un pericoloso modello di doppia estorsione per massimizzare la pressione sulle vittime.

Il ransomware Interlock è stato rilevato per la prima volta a fine settembre 2024, mentre indagini dell'FBI risalenti a giugno 2025 ne hanno descritto dettagliatamente le tattiche in continua evoluzione . Il gruppo sviluppa crittografi per sistemi operativi Windows e Linux, con particolare attenzione alla crittografia di macchine virtuali (VM). Anche i report open source suggeriscono somiglianze tra Interlock e la variante del ransomware Rhysida .

Questo gruppo si distingue per le sue tecniche di accesso iniziale, che differiscono da quelle di molti gruppi ransomware. Uno dei metodi osservati prevede i "download drive-by" da siti web legittimi ma compromessi, in cui il software dannoso viene camuffato da falsi aggiornamenti per browser web popolari come Google Chrome o Microsoft Edge, o persino strumenti di sicurezza comuni come FortiClient o Cisco Secure Client.

Inoltre, sfruttano un trucco di ingegneria sociale chiamato ClickFix, in cui gli utenti vengono ingannati e indotti a eseguire file dannosi cliccando su falsi CAPTCHA che li istruiscono a incollare ed eseguire comandi dannosi nella finestra di esecuzione del loro sistema.

Una volta all'interno di una rete, il ransomware utilizza web shell e strumenti come Cobalt Strike per stabilire il controllo, spostarsi tra i sistemi e rubare informazioni sensibili. Raccoglie dati di accesso, inclusi nomi utente e password, e utilizza persino keylogger per registrare le sequenze di tasti premuti.

Secondo l' avviso (PDF), dopo aver rubato i dati, Interlock crittografa i sistemi, aggiungendo file con estensione .interlock o .1nt3rlock . Quindi richiedono un riscatto senza specificare un importo iniziale nella nota, invitando invece le vittime a contattarli tramite uno speciale sito web .onion tramite il browser Tor . Il gruppo minaccia di divulgare i dati esfiltrati se il riscatto, solitamente pagato in Bitcoin, non viene pagato, una minaccia che hanno costantemente messo in atto.

Per contrastare la minaccia Interlock, le agenzie federali esortano le organizzazioni a implementare misure di sicurezza immediate. Le principali misure di difesa includono:

• Prevenire l'accesso iniziale utilizzando filtri DNS e firewall di accesso al web e formare i dipendenti a individuare i tentativi di ingegneria sociale.

• Applicazione di patch e aggiornamenti per garantire che tutti i sistemi operativi, i software e i firmware siano aggiornati, dando priorità alle vulnerabilità note.

• Implementazione di un'autenticazione forte, come l'autenticazione a più fattori (MFA) per tutti i servizi, ove possibile, insieme a policy più rigorose di gestione dell'identità e dell'accesso.

• Controllo della rete mediante la segmentazione delle reti per limitare la diffusione del ransomware.

• Backup e ripristino mediante il mantenimento di più backup offline immutabili (non modificabili) di tutti i dati critici.

Sono inoltre disponibili risorse gratuite tramite l'iniziativa in corso #StopRansomware .