SOC Prime Bias: Crítico

16 Jun 2026 12:58 UTC
newspaper icon ibm.com

Interlock y Rhysida: IA en el Ecosistema de Ransomware

Author Photo
SOC Prime Team linkedin icon Seguir
Interlock y Rhysida: IA en el Ecosistema de Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

La investigación de IBM X-Force destaca una fuerte conexión entre los ecosistemas de ransomware Interlock (Hive0163) y Rhysida. El informe describe una red intrincada de familias de malware compartidas, cifradores especializados y brokers de acceso inicial coordinados. Interlock parece ser un grupo de amenazas altamente maduro que utiliza herramientas personalizadas como NodeSnake e InterlockRAT, y podría haber evolucionado a partir de operadores previamente asociados con Rhysida.

Investigación

X-Force llevó a cabo una investigación a largo plazo durante más de dos años, analizando muestras de malware, cadenas de ataque e infraestructuras de preparación. La investigación descubrió similitudes sustanciales de código en múltiples puertas traseras y siguió el desarrollo de cifradores dedicados como JunkFiction y Tomb. Los investigadores también mapearon conexiones entre actores de amenazas y brokers de acceso inicial mediante infraestructuras y herramientas superpuestas.

Mitigación

Las organizaciones deben implementar capacidades sólidas de detección y respuesta en endpoints para identificar comportamientos sospechosos de procesos, incluyendo actividad inesperada de PowerShell y cambios no autorizados en el registro. Es esencial parchear rápidamente los dispositivos de red expuestos a internet para reducir el riesgo de explotación, incluyendo vulnerabilidades como CVE-2026-20131. Imponer controles estrictos de WDAC y monitorear la actividad de herramientas RMM no aprobadas también puede limitar las operaciones posteriores al compromiso.

Respuesta

Si se sospecha de actividad de Interlock o Rhysida, aísle los sistemas impactados de inmediato para detener el movimiento lateral a través de túneles RDP o SOCKS5. Realice una revisión exhaustiva de las infraestructuras de preparación y verifique la presencia de herramientas de gestión remota no autorizadas como ConnectWise ScreenConnect. Revise los registros para detectar ejecuciones sospechosas de PowerShell e investigue cualquier cambio no autorizado relacionado con tareas programadas o servicios systemd.

graph TB %% Definición de clases classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% Fase de acceso inicial action_drive_by[«<b>Acción</b> – <b idea=’T1189 Compromiso por navegación web (Drive-by Compromise)</b><br/>Las víctimas son atraídas mediante sitios web fraudulentos,<br/>anuncios maliciosos o redirecciones de motores de búsqueda.»] class action_drive_by initial_access action_content_injection[«<b>Acción</b> – <b idea=’T1204 Inyección de Contenido</b><br/>Uso de Sistemas de Distribución de Tráfico (TDS)<br/>como TAG-124 o ClickFix para redirigir a los usuarios.»] class action_content_injection initial_access action_subvert_trust[«<b>Acción</b> – <b idea=’T1553 Subvertir Controles de Confianza: Firma de Código</b><br/>Uso de certificados fraudulentos como los de<br/>Foshan Yongqiheng Trading Co., Ltd.»] class action_subvert_trust evasion %% Fase de ejecución y transferencia action_user_exec[«<b>Acción</b> – <b idea=’T1204 Ejecución por el Usuario</b><br/>Ejecución de instaladores troyanizados<br/>(por ejemplo, Microsoft Teams, Chrome o Edge).»] class action_user_exec execution malware_initial_payload[«<b>Malware</b> – <b idea=’Payloads’>JunkFiction, NodeSnake o Endico</b><br/>Descargadores de primera etapa ejecutados<br/>mediante interacción del usuario.»] class malware_initial_payload tool_malware action_ingress_transfer[«<b>Acción</b> – <b idea=’T1105 Transferencia de Herramientas Entrantes</b><br/>Obtención de malware de segunda etapa desde<br/>servidores remotos de Comando y Control.»] class action_ingress_transfer execution malware_second_stage[«<b>Malware</b> – <b idea=’Backdoors’>Supper o InterlockRAT</b><br/>Puertas traseras de segunda etapa obtenidas<br/>para facilitar el acceso remoto.»] class malware_second_stage tool_malware %% Fase de persistencia action_persistence_linux[«<b>Acción</b> – <b idea=’T1543.003 Scripts de Inicialización al Arranque o Inicio de Sesión: Servicio Systemd</b><br/>Variantes Linux de NodeSnake que crean<br/>nuevos servicios systemd.»] class action_persistence_linux persistence action_persistence_windows[«<b>Acción</b> – <b idea=’T1547 Modificación de Configuración del Shell Unix’>Persistencia en Windows</b><br/>Uso de modificaciones en la configuración del shell<br/>para mantener acceso persistente.»] class action_persistence_windows persistence %% Fase de comando y control action_c2[«<b>Acción</b> – <b idea=’T1219 Software de Acceso Remoto</b><br/>Establecimiento de shells inversos y<br/>túneles SOCKS5 para comunicaciones sigilosas.»] class action_c2 command_control %% Fase de descubrimiento action_discovery_domain[«<b>Acción</b> – <b idea=’T1087.002 Descubrimiento de Cuentas: Cuenta de Dominio</b><br/>Enumeración de cuentas de dominio mediante<br/>comandos como net user /domain.»] class action_discovery_domain discovery action_discovery_groups[«<b>Acción</b> – <b idea=’T1069.002 Descubrimiento de Grupos de Permisos: Grupos de Dominio</b><br/>Enumeración de grupos mediante<br/>net group domain admins /domain.»] class action_discovery_groups discovery %% Movimiento lateral e impacto action_lateral_move[«<b>Acción</b> – <b idea=’T1210 Explotación de Servicios Remotos</b><br/>Movimiento dentro del entorno mediante sesiones RDP<br/>iniciadas a través de shells inversos.»] class action_lateral_move lateral_movement action_selective_exclusion[«<b>Acción</b> – <b idea=’Evasión de Defensas’>Exclusión Selectiva</b><br/>Implementación de políticas WDAC personalizadas para bloquear<br/>Microsoft Defender o Sophos EDR.»] class action_selective_exclusion evasion action_impact_encryption[«<b>Acción</b> – <b idea=’T1486 Datos Cifrados para Impacto</b><br/>Despliegue final del ransomware Interlock o Rhysida<br/>para cifrar los archivos de la víctima.»] class action_impact_encryption impact %% Conexiones action_drive_by –>|facilita| action_content_injection action_content_injection –>|conduce_a| action_user_exec action_user_exec –>|usa| malware_initial_payload malware_initial_payload –>|requiere| action_subvert_trust malware_initial_payload –>|activa| action_ingress_transfer action_ingress_transfer –>|descarga| malware_second_stage malware_second_stage –>|establece| action_persistence_linux malware_second_stage –>|establece| action_persistence_windows malware_second_stage –>|habilita| action_c2 action_c2 –>|realiza| action_discovery_domain action_c2 –>|realiza| action_discovery_groups action_discovery_domain –>|informa| action_lateral_move action_discovery_groups –>|informa| action_lateral_move action_lateral_move –>|conduce_a| action_selective_exclusion action_selective_exclusion –>|precede_a| action_impact_encryption

Flujo de Ataque

Detecciones

Puntos de persistencia posibles [ASEPs – Software/NTUSER Hive] (vía registry_event)

Equipo SOC Prime
16 Jun 2026

Ver

Descarga o subida vía Powershell (vía cmdline)

Equipo SOC Prime
16 Jun 2026

Ver

Posible enumeración del sistema (vía cmdline)

Equipo SOC Prime
16 Jun 2026

Ver

Posible descubrimiento remoto del sistema o verificación de conectividad (vía cmdline)

Equipo SOC Prime
16 Jun 2026

Ver

Posible enumeración de cuentas de administrador o grupo (vía cmdline)

Equipo SOC Prime
16 Jun 2026

Ver

Descubrimiento sospechoso de confianzas de dominio (vía cmdline)

Equipo SOC Prime
16 Jun 2026

Ver

Posibles verificaciones de evasión (vía powershell)

Equipo SOC Prime
16 Jun 2026

Ver

Binario/scrips sospechosos en ubicación de inicio automático (vía file_event)

Equipo SOC Prime
16 Jun 2026

Ver

Posible abuso de Telegram como canal de comando y control (vía dns_query)

Equipo SOC Prime
16 Jun 2026

Ver

Solicitud DNS de la comunidad de Steam realizada por un proceso sospechoso (vía dns_query)

Equipo SOC Prime
16 Jun 2026

Ver

IOCs (HashSha256) para detectar: Inteligencia Artificial de Seguridad: Interlock y Rhysida dentro del Ecosistema de Ransomware Parte 3

Reglas de IA de SOC Prime
16 Jun 2026

Ver

IOCs (HashSha256) para detectar: Inteligencia Artificial de Seguridad: Interlock y Rhysida dentro del Ecosistema de Ransomware Parte 2

Reglas de IA de SOC Prime
16 Jun 2026

Ver

IOCs (HashSha256) para detectar: Inteligencia Artificial de Seguridad: Interlock y Rhysida dentro del Ecosistema de Ransomware Parte 1

Reglas de IA de SOC Prime
16 Jun 2026

Ver

IOCs (SourceIP) para detectar: Inteligencia Artificial de Seguridad: Interlock y Rhysida dentro del Ecosistema de Ransomware

Reglas de IA de SOC Prime
16 Jun 2026

Ver

IOCs (DestinationIP) para detectar: Inteligencia Artificial de Seguridad: Interlock y Rhysida dentro del Ecosistema de Ransomware

Reglas de IA de SOC Prime
16 Jun 2026

Ver

Detección del descargador JunkFiction y script de PowerShell programado [Windows Powershell]

Reglas de IA de SOC Prime
16 Jun 2026

Ver

Detección de la puerta trasera Supper y descargador JunkFiction [Windows Process Creation]

Reglas de IA de SOC Prime
16 Jun 2026

Ver

Detección de la actividad de NodeSnake e InterlockRAT [Linux Process Creation]

Reglas de IA de SOC Prime
16 Jun 2026

Ver

Ejecución de simulación

Requisito previo: El chequeo preliminar de telemetría y línea base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscan generar la telemetría exacta que se espera de la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa del Ataque y Comandos: El adversario ha comprometido con éxito la estación de trabajo de un desarrollador a través de un ataque a la cadena de suministro (T1195.003). Han dejado caer una carga maliciosa de Node.js llamada InterlockRAT.js en un directorio temporal. La meta es establecer una puerta trasera persistente para facilitar el movimiento lateral dentro de la red. El atacante ejecuta el script usando el entorno de ejecución de node, pasando argumentos específicos para inicializar un proxy SOCKS5 para tunelizar tráfico. Este comando específico está diseñado para activar la lógica de detección existente. runtime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic.

  • Script de Prueba de Regresión:

    # Crear un directorio ficticio para el malware
mkdir -p /tmp/malware_drop
# Crear el archivo 'malicioso' InterlockRAT.js
cat < /tmp/malware_drop/InterlockRAT.js
// Lógica simulada de malware
console.log("Initializing InterlockRAT payload...");
EOF
# Ejecutar el archivo con las cadenas específicas requeridas para activar la regla
node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5

  • Comandos de Limpieza:

    # Eliminar los archivos y directorios de malware simulados
rm -rf /tmp/malware_drop

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis