Группа Interlock Ransomware наращивает атаки на инфраструктуру США

По данным аналитиков Arctic Wolf, опубликовавших детальное исследование, Interlock проводит двойной шантаж: сначала похищает конфиденциальные данные, затем шифрует системы. Неплательщики попадают на частную площадку сливов "Worldwide Secrets Blog", где публикуются имена жертв, объемы украденной информации и ссылки на их сайты. К августу 2025 года там появились данные как минимум 58 организаций.

Технология обмана: "ClickFix" как оружие

Ключевой инструмент группы - техника "ClickFix". Жертв перенаправляют на взломанные легитимные сайты, где появляется диалоговое окно с просьбой "подтвердить человеческую природу" нажатием клавиш. На самом деле действия пользователя запускают скрытую загрузку вредоносного ПО. Чаще всего маскируется под обновление браузеров Chrome или Edge. Пользователей обманом заставляют вручную выполнить PowerShell-команду, которая открывает бэкдор.

"Опасность в том, что инструкции размещаются на уже доверенных сайтах, повышая вероятность успеха", - отмечают исследователи. После запуска скрипт работает в скрытом режиме, собирает системные данные и устанавливает связь с командными серверами через сервис TryCloudflare, что затрудняет обнаружение. Для маскировки активно используются методы обфускации кода, включая замену символов и псевдонимы функций.

Целевые атаки на критическую инфраструктуру

В июле 2025 года Interlock атаковала город Сент-Пол (Миннесота), выведя из строя ключевые системы и поставив под угрозу данные 3500 сотрудников. Как сообщил Fox 9 президент по технологиям Arctic Wolf Дэн Шиаппа, группа целенаправленно выбирает цели с высокой платёжеспособностью: "Они проводят разведку, находят уязвимости в экосистеме и лишь затем запускают атаку". Городские власти подтвердили инцидент, но отказались платить выкуп.

Ранее, в апреле, жертвой стал медицинский провайдер DaVita - похищено 1,5 ТБ данных 200 000 пациентов. В июне CISA и FBI выпустили экстренное предупреждение о модификации шифровальщика Interlock, получившего кроссплатформенные возможности (Windows/Linux) и устойчивость к детектированию.

Происхождение

Аналитики обнаружили сходства с группой Rhysida, предполагая, что Interlock могла выделиться из её структуры. В отличие от многих конкурентов, группа действует как закрытый коллектив без привлечения аффилиатов.

IPv4

• 128.140.120.188
• 138.199.156.22
• 159.69.3.151
• 167.235.235.151
• 168.119.96.41
• 177.136.225.135
• 178.156.129.27
• 188.34.195.44
• 192.64.86.175
• 193.149.180.58
• 212.237.217.182
• 216.245.184.181
• 45.61.136.202
• 49.12.69.80
• 5.161.225.197
• 91.99.10.54
• 95.217.22.175

Domains

• basiclock.cc
• bronxy.cc
• cluders.org
• dashes.cc
• dijoin.org
• doriot.info
• fake-domain-1892572220.com
• kingrouder.tech
• nettixx.com
• peasplecore.net
• playiro.net

SHA1

• 6b4bdffdd5734842120e1772d1c81ee7bd99c2f1
• 9256cc0ec4607becf8e72d6d416bf9e6da0e03dd
• bd19b3ccfb5220b53acff5474a7f63b95775a2c7

SHA256

• 0b47e53f2ada0555588aa8a6a4491e14d7b2528c9a829ebb6f7e9463963cd0e4
• 0dd67fa3129acbf191eeb683fb164074cc1ba5d7bce286e0cc5ad47cc0bbcef0
• 2acaa9856ee58537c06cc2858fd71b860f53219504e6756faa3812019b5df5a6
• 3e4407dfd827714a66e25c2baccefd915233eeec8fb093257e458f4153778bee
• 60d95d385e76bb83d38d713887d2fa311b4ecd9c5013882cd648afdeeb5dc7c3
• 61d092e5c7c8200377a8bd9c10288c2766186a11153dcaa04ae9d1200db7b1c5
• 6b72706fe0a0d2192d578e9e754d0e3f5715154a41bd18f80b32adcffad26522
• 7501623230eef2f6125dcf5b5d867991bdf333d878706d77c1690b632195c3ff
• b28a9062100a7fbf0f65dbb23db319717c4e613e890d0a3f1ae27ec6e34cf35a
• e40e82b77019edca06c7760b6133c6cc481d9a22585dd80bce393f0bfbe47a99
• fcdbe8f6204919f94fd57309806f5609ae88ae1bbd000d6226f25d2200cf6d47