Interlock ist eine seit Ende 2024 aktive Gruppe, die per Drive-by-Downloads, gefälschten Browser-/Security-Updates und „ClickFix“/„FileFix“-Social-Engineering einsteigt und Daten stiehlt sowie verschlüsselt. Es besteht eine vermutete Verbindung zu Rhysida; CISA/FBI haben ein eigenes Advisory veröffentlicht.
Aktiv
Geschlossene Datenerpressung (RaaS-artig)
Interlock; Leak-Site „Worldwide Secrets Blog“; Malware Interlock RAT / NodeSnake RAT
September 2024
Vermutlich aus dem Rhysida-Umfeld (geteilte „Supper“-Backdoor)
Unbekannt; finanziell motiviert
Gesundheitswesen, Bildung, Fertigung, Business-Services, Behörden, Technologie, Verteidigung
Nordamerika (Schwerpunkt), Europa; DACH: Samples aus Deutschland
unbekannt (60-stellige Opfer-ID, Tor-Verhandlung)
~112 Opfer (Juni 2026)
.interlock, .1nt3rlock
!__README__!.txt (teils via GPO verteilt)
Plattformen: Windows und Linux.
Verschlüsselung: LibTomCrypt; Windows AES-CBC (CISA: AES + RSA), Linux CBC/RSA; gepackte Executables mit eigenem Unpacker.
Besonderheit: neuartige Social-Engineering-Auslieferung (ClickFix/FileFix) plus echte Zero-Day-Fähigkeit.
Awareness gegen ClickFix/Fake-Updates, 24/7-Endpoint-Detection im Cyber Defense Center und schnelle Reaktion bei Verdacht.