SOC Prime Bias: Crítico

16 Jun 2026 12:58 UTC
newspaper icon ibm.com

Interlock e Rhysida: IA no Ecossistema de Ransomware

Author Photo
SOC Prime Team linkedin icon Seguir
Interlock e Rhysida: IA no Ecossistema de Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

A pesquisa IBM X-Force destaca uma forte conexão entre os ecossistemas de ransomware Interlock (Hive0163) e Rhysida. O relatório delineia uma rede intrincada de famílias de malware compartilhadas, crypters especializados e brokers de acesso inicial coordenados. Interlock parece ser um grupo de ameaça muito maduro usando ferramentas personalizadas como NodeSnake e InterlockRAT, e pode ter evoluído de operadores anteriormente associados ao Rhysida.

Investigação

A X-Force realizou uma pesquisa de longo prazo por mais de dois anos, analisando amostras de malware, cadeias de ataque e infraestrutura de preparação. A investigação revelou semelhanças substanciais de código em diversos backdoors e rastreou o desenvolvimento de crypters dedicados como JunkFiction e Tomb. Pesquisadores também mapearam conexões entre atores de ameaça e brokers de acesso inicial através de infraestrutura e uso de ferramentas sobrepostos.

Mitigação

As organizações devem implementar capacidades fortes de detecção e resposta em endpoint para identificar comportamentos suspeitos de processos, incluindo atividade inesperada do PowerShell e alterações não autorizadas no registro. A aplicação rápida de patches em dispositivos de rede voltados para a internet é essencial para reduzir o risco de exploração, incluindo vulnerabilidades como CVE-2026-20131. A imposição de controles rígidos de WDAC e o monitoramento de atividade de ferramentas de RMM não aprovadas também podem limitar operações pós-comprometimento.

Resposta

Se houver suspeita de atividade do Interlock ou Rhysida, isole os sistemas impactados imediatamente para interromper o movimento lateral através de túneis RDP ou SOCKS5. Realize uma revisão completa da infraestrutura de preparação e verifique ferramentas de gerenciamento remoto não autorizadas como ConnectWise ScreenConnect. Revise logs para execuções suspeitas de PowerShell e investigue quaisquer alterações não autorizadas envolvendo tarefas agendadas ou serviços systemd.

graph TB %% Definições de classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% Fase de acesso inicial action_drive_by[“<b>Ação</b> – <b idea=’T1189 Comprometimento por Navegação (Drive-by Compromise)</b><br/>As vítimas são atraídas por sites fraudulentos,<br/>anúncios maliciosos ou redirecionamentos em mecanismos de busca.”] class action_drive_by initial_access action_content_injection[“<b>Ação</b> – <b idea=’T1204 Injeção de Conteúdo</b><br/>Uso de Sistemas de Distribuição de Tráfego (TDS)<br/>como TAG-124 ou ClickFix para redirecionar usuários.”] class action_content_injection initial_access action_subvert_trust[“<b>Ação</b> – <b idea=’T1553 Subversão de Controles de Confiança: Assinatura de Código</b><br/>Uso de certificados fraudulentos, como os da<br/>Foshan Yongqiheng Trading Co., Ltd.”] class action_subvert_trust evasion %% Fase de execução e transferência action_user_exec[“<b>Ação</b> – <b idea=’T1204 Execução pelo Usuário</b><br/>Execução de instaladores trojanizados<br/>(por exemplo, Microsoft Teams, Chrome ou Edge).”] class action_user_exec execution malware_initial_payload[“<b>Malware</b> – <b idea=’Payloads’>JunkFiction, NodeSnake ou Endico</b><br/>Baixadores de estágio inicial executados<br/>por meio da interação do usuário.”] class malware_initial_payload tool_malware action_ingress_transfer[“<b>Ação</b> – <b idea=’T1105 Transferência de Ferramentas para Dentro do Ambiente</b><br/>Recuperação de malware de segundo estágio a partir de<br/>servidores remotos de Comando e Controle.”] class action_ingress_transfer execution malware_second_stage[“<b>Malware</b> – <b idea=’Backdoors’>Supper ou InterlockRAT</b><br/>Backdoors de segundo estágio obtidos<br/>para facilitar o acesso remoto.”] class malware_second_stage tool_malware %% Fase de persistência action_persistence_linux[“<b>Ação</b> – <b idea=’T1543.003 Scripts de Inicialização no Boot ou Login: Serviço Systemd</b><br/>Variantes Linux do NodeSnake criando<br/>novos serviços systemd.”] class action_persistence_linux persistence action_persistence_windows[“<b>Ação</b> – <b idea=’T1547 Modificação da Configuração do Shell Unix’>Persistência no Windows</b><br/>Uso de modificações na configuração do shell<br/>para manter acesso persistente.”] class action_persistence_windows persistence %% Fase de comando e controle action_c2[“<b>Ação</b> – <b idea=’T1219 Software de Acesso Remoto</b><br/>Estabelecimento de shells reversos e<br/>túneis SOCKS5 para comunicação furtiva.”] class action_c2 command_control %% Fase de descoberta action_discovery_domain[“<b>Ação</b> – <b idea=’T1087.002 Descoberta de Contas: Conta de Domínio</b><br/>Enumeração de contas de domínio usando<br/>comandos como net user /domain.”] class action_discovery_domain discovery action_discovery_groups[“<b>Ação</b> – <b idea=’T1069.002 Descoberta de Grupos de Permissão: Grupos de Domínio</b><br/>Enumeração de grupos usando<br/>net group domain admins /domain.”] class action_discovery_groups discovery %% Movimento lateral e impacto action_lateral_move[“<b>Ação</b> – <b idea=’T1210 Exploração de Serviços Remotos</b><br/>Movimentação pelo ambiente através de sessões RDP<br/>iniciadas por shells reversos.”] class action_lateral_move lateral_movement action_selective_exclusion[“<b>Ação</b> – <b idea=’Evasão de Defesas’>Exclusão Seletiva</b><br/>Implantação de políticas WDAC personalizadas para bloquear<br/>o Microsoft Defender ou o Sophos EDR.”] class action_selective_exclusion evasion action_impact_encryption[“<b>Ação</b> – <b idea=’T1486 Dados Criptografados para Impacto</b><br/>Implantação final do ransomware Interlock ou Rhysida<br/>para criptografar os arquivos da vítima.”] class action_impact_encryption impact %% Conexões action_drive_by –>|facilita| action_content_injection action_content_injection –>|leva_a| action_user_exec action_user_exec –>|usa| malware_initial_payload malware_initial_payload –>|requer| action_subvert_trust malware_initial_payload –>|aciona| action_ingress_transfer action_ingress_transfer –>|baixa| malware_second_stage malware_second_stage –>|estabelece| action_persistence_linux malware_second_stage –>|estabelece| action_persistence_windows malware_second_stage –>|habilita| action_c2 action_c2 –>|executa| action_discovery_domain action_c2 –>|executa| action_discovery_groups action_discovery_domain –>|fornece_informações_para| action_lateral_move action_discovery_groups –>|fornece_informações_para| action_lateral_move action_lateral_move –>|leva_a| action_selective_exclusion action_selective_exclusion –>|precede| action_impact_encryption

Fluxo de Ataque

Detecções

Pontos Possíveis de Persistência [ASEPs – Hive de Software/NTUSER] (via registry_event)

Equipe SOC Prime
16 Jun 2026

Ver

Download ou Upload via Powershell (via cmdline)

Equipe SOC Prime
16 Jun 2026

Ver

Possível Enumeração de Sistema (via cmdline)

Equipe SOC Prime
16 Jun 2026

Ver

Possível Descoberta de Sistema Remoto ou Verificação de Conectividade (via cmdline)

Equipe SOC Prime
16 Jun 2026

Ver

Possível Enumeração de Conta ou Grupo de Administrador (via cmdline)

Equipe SOC Prime
16 Jun 2026

Ver

Descoberta Suspeita de Confianças de Domínio (via cmdline)

Equipe SOC Prime
16 Jun 2026

Ver

Possíveis Verificações de Evasão (via powershell)

Equipe SOC Prime
16 Jun 2026

Ver

Binários / Scripts Suspeitos em Local de Autoinicialização (via file_event)

Equipe SOC Prime
16 Jun 2026

Ver

Possível Abuso do Telegram como Canal de Comando e Controle (via dns_query)

Equipe SOC Prime
16 Jun 2026

Ver

Requisição DNS da Comunidade Steam Executada por Processo Suspeito (via dns_query)

Equipe SOC Prime
16 Jun 2026

Ver

IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 3

Regras de IA SOC Prime
16 Jun 2026

Ver

IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 2

Regras de IA SOC Prime
16 Jun 2026

Ver

IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 1

Regras de IA SOC Prime
16 Jun 2026

Ver

IOCs (SourceIP) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware

Regras de IA SOC Prime
16 Jun 2026

Ver

IOCs (DestinationIP) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware

Regras de IA SOC Prime
16 Jun 2026

Ver

Detecção do JunkFiction Downloader e Script Agendado do PowerShell [Windows Powershell]

Regras de IA SOC Prime
16 Jun 2026

Ver

Detecção do Backdoor Supper e JunkFiction Downloader [Criação de Processo no Windows]

Regras de IA SOC Prime
16 Jun 2026

Ver

Detecção de Atividade do NodeSnake e InterlockRAT [Criação de Processo no Linux]

Regras de IA SOC Prime
16 Jun 2026

Ver

Execução da Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.

  • Narrativa do Ataque e Comandos: O adversário comprometeu com sucesso a estação de trabalho de um desenvolvedor por meio de um ataque à cadeia de suprimentos (T1195.003). Eles inseriram um payload Node.js malicioso chamado InterlockRAT.js em um diretório temporário. O objetivo é estabelecer um backdoor persistente para facilitar o movimento lateral dentro da rede. O invasor executa o script usando o node runtime, passando argumentos específicos para inicializar um proxy SOCKS5 para tunelamento de tráfego. Este comando específico é projetado para acionar a lógica de detecção existente.

  • Script de Teste de Regressão:

    # Criar um diretório fictício para o malware
mkdir -p /tmp/malware_drop

# Criar o arquivo 'malicioso' InterlockRAT.js
cat <<EOF > /tmp/malware_drop/InterlockRAT.js
// Lógica de malware simulada
console.log("Inicializando o payload do InterlockRAT...");
EOF

# Executar o arquivo com as strings específicas necessárias para acionar a regra
node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5

  • Comandos de Limpeza:

    # Remover os arquivos e diretórios de malware simulados
rm -rf /tmp/malware_drop

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente