FBI e CISA alertam sobre ransomware Interlock visando infraestrutura crítica

O Federal Bureau of Investigation (FBI), juntamente com a Agência de Segurança Cibernética e de Infraestrutura (CISA), o Departamento de Saúde e Serviços Humanos (HHS) e o Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC), emitiram um alerta sobre o aumento da atividade do grupo de ransomware Interlock .

Essa ameaça com motivação financeira tem como alvo uma ampla gama de organizações, incluindo empresas e infraestrutura crítica vital na América do Norte e Europa, empregando um modelo perigoso de dupla extorsão para maximizar a pressão sobre as vítimas.

O ransomware Interlock foi detectado pela primeira vez no final de setembro de 2024, com investigações do FBI em junho de 2025 detalhando suas táticas em evolução . O grupo desenvolve criptografadores para sistemas operacionais Windows e Linux, com foco específico na criptografia de máquinas virtuais (VMs). Relatórios de código aberto também sugerem semelhanças entre o Interlock e a variante do ransomware Rhysida .

Este grupo se destaca por suas técnicas de acesso inicial, que diferem de muitos grupos de ransomware. Um método observado envolve "downloads drive-by" de sites legítimos, porém comprometidos, nos quais softwares maliciosos são disfarçados como atualizações falsas para navegadores populares, como Google Chrome ou Microsoft Edge, ou mesmo ferramentas de segurança comuns, como FortiClient ou Cisco-Secure-Client.

Além disso, eles utilizam um truque de engenharia social chamado ClickFix, onde os usuários são induzidos a executar arquivos nocivos clicando em CAPTCHAs falsos que os instruem a colar e executar comandos maliciosos na janela de execução do sistema.

Uma vez dentro da rede, o ransomware utiliza shells da web e ferramentas como o Cobalt Strike para estabelecer controle, navegar entre sistemas e roubar informações confidenciais. Eles coletam detalhes de login, incluindo nomes de usuário e senhas, e até usam keyloggers para registrar as teclas digitadas.

De acordo com o comunicado (PDF), após roubar dados, o Interlock criptografa os sistemas, anexando arquivos com as extensões .interlock ou .1nt3rlock . Em seguida, eles exigem um resgate sem informar o valor inicial, instruindo as vítimas a contatá-los por meio de um site especial .onion no navegador Tor . O grupo ameaça vazar os dados exfiltrados se o resgate, normalmente pago em Bitcoin, não for pago, uma ameaça que eles têm cumprido consistentemente.

Para combater a ameaça do Interlock, agências federais recomendam que as organizações implementem medidas de segurança imediatas. As principais defesas incluem:

• Impedir o acesso inicial usando filtragem de DNS e firewalls de acesso à web, além de treinar funcionários para detectar tentativas de engenharia social.

• Aplicação de patches e atualizações para garantir que todos os sistemas operacionais, software e firmware estejam atualizados, priorizando vulnerabilidades conhecidas.

• Implementação de autenticação forte, como autenticação multifator (MFA) para todos os serviços, sempre que possível, juntamente com políticas mais fortes de gerenciamento de identidade e acesso.

• Controle de rede segmentando redes para limitar a extensão da disseminação do ransomware.

• Backup e recuperação mantendo múltiplos backups offline e imutáveis (inalteráveis) de todos os dados críticos.

Além disso, recursos gratuitos estão disponíveis por meio da iniciativa #StopRansomware em andamento.