FBI en CISA waarschuwen voor Interlock Ransomware die kritieke infrastructuur als doelwit heeft

De Federal Bureau of Investigation (FBI) heeft, samen met de Cybersecurity and Infrastructure Security Agency (CISA), het Department of Health and Human Services (HHS) en het Multi-State Information Sharing and Analysis Center (MS-ISAC), een waarschuwing afgegeven over de toegenomen activiteit van de Interlock-ransomwaregroep .

Deze financieel gemotiveerde dreiging is gericht op een breed scala aan organisaties, waaronder bedrijven en belangrijke kritieke infrastructuur in Noord-Amerika en Europa. Hierbij wordt gebruikgemaakt van een gevaarlijk dubbel afpersingsmodel om de druk op slachtoffers te maximaliseren.

Interlock-ransomware werd voor het eerst ontdekt eind september 2024. FBI-onderzoeken van juni 2025 brachten hun veranderende tactieken in kaart. De groep ontwikkelt encryptors voor zowel Windows- als Linux-besturingssystemen, met een specifieke focus op het versleutelen van virtuele machines (VM's). Open-sourcerapporten suggereren ook overeenkomsten tussen Interlock en de Rhysida-ransomwarevariant .

Deze groep valt op door de initiële toegangstechnieken, die verschillen van die van veel ransomwaregroepen. Een waargenomen methode betreft 'drive-by downloads' van legitieme maar gecompromitteerde websites, waarbij schadelijke software wordt vermomd als nep-updates voor populaire webbrowsers zoals Google Chrome of Microsoft Edge, of zelfs als gangbare beveiligingstools zoals FortiClient of Cisco-Secure-Client.

Bovendien maken ze gebruik van een social engineering-truc met de naam ClickFix. Daarbij worden gebruikers verleid tot het uitvoeren van schadelijke bestanden door te klikken op valse CAPTCHA's. Deze CAPTCHA's geven hen de opdracht om schadelijke opdrachten in het uitvoervenster van hun systeem te plakken en uit te voeren.

Eenmaal binnen een netwerk gebruikt de ransomware webshells en tools zoals Cobalt Strike om controle te krijgen, tussen systemen te bewegen en gevoelige informatie te stelen. Ze verzamelen inloggegevens, waaronder gebruikersnamen en wachtwoorden, en gebruiken zelfs keyloggers om toetsaanslagen te registreren.

Volgens het advies (pdf) versleutelt Interlock systemen na het stelen van gegevens en voegt het bestanden toe met de extensie .interlock of .1nt3rlock . Vervolgens eisen ze losgeld zonder een beginbedrag in hun bericht, maar in plaats daarvan instrueren ze slachtoffers om contact met hen op te nemen via een speciale .onion-website via de Tor-browser . De groep dreigt geëxfiltreerde gegevens te lekken als het losgeld, meestal betaald in Bitcoin, niet wordt betaald, een dreigement dat ze consequent hebben waargemaakt.

Om de Interlock-dreiging tegen te gaan, dringen federale instanties er bij organisaties op aan om onmiddellijk veiligheidsmaatregelen te nemen. Belangrijke verdedigingsmechanismen zijn onder meer:

• Voorkom de eerste toegang door DNS-filtering en firewalls voor webtoegang te gebruiken en train medewerkers in het herkennen van pogingen tot social engineering.

• Patches en updates uitvoeren om ervoor te zorgen dat alle besturingssystemen, software en firmware up-to-date zijn, waarbij prioriteit wordt gegeven aan bekende kwetsbaarheden.

• Implementatie van krachtige authenticatie, zoals multi-factor authenticatie (MFA) voor alle services waar mogelijk, in combinatie met sterkere beleidsregels voor identiteits- en toegangsbeheer.

• Netwerkcontrole door netwerken te segmenteren om te beperken hoe ver ransomware zich kan verspreiden.

• Back-up en herstel door het onderhouden van meerdere, offline, onveranderlijke back-ups van alle cruciale gegevens.

Daarnaast zijn er gratis hulpmiddelen beschikbaar via het lopende #StopRansomware -initiatief.