Interlock
Überblick
Interlock ist eine Ransomware-Gruppe, die mit der Methode der doppelten Erpressung (Double Extortion) vorgeht: Sie verschlüsselt nicht nur die Systeme der Betroffenen, sondern entwendet zuvor sensible Daten und droht mit deren Veröffentlichung, um den Druck zur Lösegeldzahlung zu erhöhen. Im Fokus der Gruppe stehen Einrichtungen kritischer Infrastruktur, darunter das Gesundheitswesen, Behörden und öffentliche Verwaltung, der Bildungssektor sowie Technologieunternehmen. Geografisch konzentrieren sich ihre Angriffe auf Ziele in Nordamerika und Europa. Die Gruppe hat zahlreiche Opfer für sich reklamiert, wobei auch große Datenmengen mit besonders schützenswerten Informationen aus dem Gesundheitsbereich kompromittiert wurden. Charakteristisch für Interlock ist die Kombination aus dem Angriff auf besonders schutzbedürftige Sektoren und dem Erpressungsmodell, das auf die Drohung mit der Offenlegung gestohlener Daten setzt.
Taktiken & Vorgehen
Interlock setzt für die einzelnen Phasen eines Angriffs eine Reihe legitimer und quelloffener Werkzeuge sowie typischer Angriffssoftware ein. Zur Erkundung des Netzwerks dient der „Advanced Port Scanner“. Für die Fernsteuerung kompromittierter Systeme kommen Fernwartungslösungen wie „AnyDesk“ und „ScreenConnect“ sowie das Post-Exploitation-Framework „Cobalt Strike“ zum Einsatz; die laterale Bewegung im Netzwerk wird mit „PsExec“ unterstützt. Zur Datenexfiltration nutzt die Gruppe „Azure Storage Explorer“, „AZCopy“, „WinSCP“ und „PuTTY“. Sicherheitsmechanismen werden mit „ProcessHacker“ sowie über die Technik „Bring Your Own Vulnerable Driver“ (BYOVD) unter Verwendung des Treibers „ThreatFire System Monitor“ ausgehebelt, um Schutzsoftware zu beenden oder zu umgehen.
Schutzmaßnahmen
Der Einsatz von Fernwartungswerkzeugen wie „AnyDesk“ und „ScreenConnect“ sollte eingeschränkt und auf nicht autorisierte Installationen überwacht werden. Die BYOVD-Technik mit dem Treiber „ThreatFire System Monitor“ lässt sich durch Sperrlisten für verwundbare Treiber sowie den Schutz der eingesetzten Sicherheitssoftware vor Beendigung eindämmen. Die laterale Bewegung über „PsExec“ und der Einsatz von „Cobalt Strike“ sollten durch Netzwerksegmentierung und die Überwachung verdächtiger Prozessausführungen erschwert werden. Ungewöhnliche Datenübertragungen über Werkzeuge wie „AZCopy“, „WinSCP“ oder „Azure Storage Explorer“ sollten erkannt und ausgehende Verbindungen kontrolliert werden, um eine Exfiltration frühzeitig zu unterbinden.
Chronologie
- 13.10.2024 Erste bekannte Aktivität
- 02.06.2026 Zuletzt aktiv
Erwähnt in
- Cisco patcht kritische Webex-Lücke – Kunden mit SSO müssen selbst aktiv werden 16.04.2026
- Cisco IMC: Kritischer Authentifizierungs-Bypass verschafft Angreifern Admin-Rechte 02.04.2026
- CISA setzt Notfrist: Maximalkritische Cisco-Lücke in Firewall-Management bis Sonntag patchen 20.03.2026
- Interlock-Ransomware nutzt kritische Zero-Day-Lücke in Cisco-Firewalls aus 20.03.2026
- Interlock-Bande nutzte Zero-Day in Cisco-Firewalls Wochen vor der Offenlegung aus 19.03.2026
- CISA warnt vor aktiver Ausnutzung von Zimbra- und SharePoint-Lücken, Cisco-Zero-Day in Ransomware-Angriffen 19.03.2026
- Cisco-Firewall-Lücke als Zero-Day in Interlock-Ransomware-Angriffen ausgenutzt 19.03.2026
- Interlock-Ransomware nutzte Zero-Day in Cisco Secure Firewall Management Center aus 19.03.2026
- Interlock-Bande nutzte Cisco-Schwachstelle seit Januar als Zero-Day aus 19.03.2026
- Wochenrückblick: N8n-Schwachstelle aktiv ausgenutzt, KI-generierte Slopoly-Malware, Interpol-Schlag gegen Cyberkriminalität 13.03.2026
- KI-generierte Malware Slopoly: Hive0163 sichert sich dauerhaften Zugang bei Ransomware-Angriffen 12.03.2026
- Slopoly: KI-generierte Malware bei Interlock-Ransomware-Angriff entdeckt 12.03.2026
- Velvet Tempest nutzt ClickFix-Technik für DonutLoader und CastleRAT 07.03.2026