SOC Prime Bias: Kritisch

16 Jun 2026 12:58 UTC
newspaper icon ibm.com

Interlock und Rhysida: KI im Ransomware-Ökosystem

Author Photo
SOC Prime Team linkedin icon Folgen
Interlock und Rhysida: KI im Ransomware-Ökosystem
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Die IBM X-Force-Forschung zeigt eine starke Verbindung zwischen den Ransomware-Ökosystemen Interlock (Hive0163) und Rhysida auf. Der Bericht skizziert ein komplexes Netzwerk gemeinsamer Malware-Familien, spezialisierter Crypter und koordinierter Initial-Access-Broker. Interlock scheint eine hochentwickelte Bedrohungsgruppe zu sein, die maßgeschneiderte Tools wie NodeSnake und InterlockRAT verwendet, und könnte sich aus früher mit Rhysida verbundenen Operateuren entwickelt haben.

Untersuchung

X-Force führte über mehr als zwei Jahre langfristige Untersuchungen durch und analysierte Malware-Beispiele, Angriffsabläufe und Bereitstellungsinfrastrukturen. Die Untersuchung deckte erhebliche Code-Ähnlichkeiten bei mehreren Backdoors auf und verfolgte die Entwicklung dedizierter Crypter wie JunkFiction und Tomb. Forscher kartierten auch Verbindungen zwischen Bedrohungsakteuren und Initial-Access-Brokern durch Überlappungen bei Infrastruktur- und Werkzeugnutzung.

Entschärfungsmaßnahmen

Organisationen sollten starke Endpoint-Detection-and-Response-Fähigkeiten einsetzen, um verdächtiges Prozessverhalten zu identifizieren, einschließlich unerwarteter PowerShell-Aktivitäten und unautorisierter Registry-Änderungen. Ein schnelles Patchen von netzwerkausgerichteten Geräten ist unerlässlich, um das Risiko einer Ausnutzung zu verringern, einschließlich Schwachstellen wie CVE-2026-20131. Das Durchsetzen strenger WDAC-Kontrollen und die Überwachung von nicht genehmigten RMM-Tool-Aktivitäten kann auch die Operationen nach einem Vorfall begrenzen.

Reaktion

Sollte eine Aktivität von Interlock oder Rhysida vermutet werden, isolieren Sie betroffene Systeme sofort, um laterale Bewegungen über RDP- oder SOCKS5-Tunnel zu stoppen. Führen Sie eine gründliche Überprüfung der Bereitstellungsinfrastruktur durch und prüfen Sie auf unautorisierte Fernverwaltungswerkzeuge wie ConnectWise ScreenConnect. Überprüfen Sie die Protokolle auf verdächtige PowerShell-Ausführungen und untersuchen Sie alle unautorisierten Änderungen an geplanten Aufgaben oder Systemd-Diensten.

graph TB %% Klassendefinitionen classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% Phase des initialen Zugriffs action_drive_by[„<b>Aktion</b> – <b idea=’T1189 Drive-by Compromise'</b><br/>Opfer werden durch betrügerische Webseiten,<br/>schädliche Werbung oder Suchmaschinen-Weiterleitungen<br/>angelockt.“] class action_drive_by initial_access action_content_injection[„<b>Aktion</b> – <b idea=’T1204 Content Injection'</b><br/>Verwendung von Traffic Distribution Systems (TDS)<br/>wie TAG-124 oder ClickFix zur Umleitung von Benutzern.“] class action_content_injection initial_access action_subvert_trust[„<b>Aktion</b> – <b idea=’T1553 Vertrauenskontrollen untergraben: Code-Signierung'</b><br/>Verwendung betrügerischer Zertifikate wie<br/>Foshan Yongqiheng Trading Co., Ltd.“] class action_subvert_trust evasion %% Ausführungs- und Transferphase action_user_exec[„<b>Aktion</b> – <b idea=’T1204 Benutzerausführung'</b><br/>Ausführung trojanisierter Installationsprogramme<br/>(z. B. Microsoft Teams, Chrome oder Edge).“] class action_user_exec execution malware_initial_payload[„<b>Malware</b> – <b idea=’Payloads’>JunkFiction, NodeSnake oder Endico</b><br/>Downloader der ersten Stufe werden<br/>durch Benutzerinteraktion ausgeführt.“] class malware_initial_payload tool_malware action_ingress_transfer[„<b>Aktion</b> – <b idea=’T1105 Ingress Tool Transfer'</b><br/>Abrufen von Schadsoftware der zweiten Stufe von<br/>entfernten Command-and-Control-Servern.“] class action_ingress_transfer execution malware_second_stage[„<b>Malware</b> – <b idea=’Backdoors’>Supper oder InterlockRAT</b><br/>Backdoors der zweiten Stufe werden abgerufen,<br/>um Fernzugriff zu ermöglichen.“] class malware_second_stage tool_malware %% Persistenzphase action_persistence_linux[„<b>Aktion</b> – <b idea=’T1543.003 Boot- oder Login-Initialisierungsskripte: Systemd-Dienst'</b><br/>Linux-Varianten von NodeSnake erstellen<br/>neue Systemd-Dienste.“] class action_persistence_linux persistence action_persistence_windows[„<b>Aktion</b> – <b idea=’T1547 Änderung der Unix-Shell-Konfiguration’>Windows-Persistenz</b><br/>Verwendung von Änderungen an Shell-Konfigurationen,<br/>um den Zugriff aufrechtzuerhalten.“] class action_persistence_windows persistence %% Command-and-Control-Phase action_c2[„<b>Aktion</b> – <b idea=’T1219 Remote Access Software'</b><br/>Einrichtung von Reverse Shells und<br/>SOCKS5-Tunneln für verdeckte Kommunikation.“] class action_c2 command_control %% Discovery-Phase action_discovery_domain[„<b>Aktion</b> – <b idea=’T1087.002 Kontoermittlung: Domänenkonto'</b><br/>Auflistung von Domänenkonten mit<br/>Befehlen wie net user /domain.“] class action_discovery_domain discovery action_discovery_groups[„<b>Aktion</b> – <b idea=’T1069.002 Berechtigungsgruppen-Ermittlung: Domänengruppen'</b><br/>Auflistung von Gruppen mit<br/>net group domain admins /domain.“] class action_discovery_groups discovery %% Laterale Bewegung und Auswirkung action_lateral_move[„<b>Aktion</b> – <b idea=’T1210 Ausnutzung entfernter Dienste'</b><br/>Bewegung innerhalb der Umgebung über RDP-Sitzungen,<br/>die durch Reverse Shells gestartet wurden.“] class action_lateral_move lateral_movement action_selective_exclusion[„<b>Aktion</b> – <b idea=’Defense Evasion’>Selektive Ausnahme</b><br/>Bereitstellung benutzerdefinierter WDAC-Richtlinien,<br/>um Microsoft Defender oder Sophos EDR zu blockieren.“] class action_selective_exclusion evasion action_impact_encryption[„<b>Aktion</b> – <b idea=’T1486 Datenverschlüsselung für Auswirkung'</b><br/>Finale Bereitstellung der Interlock- oder Rhysida-Ransomware,<br/>um Dateien der Opfer zu verschlüsseln.“] class action_impact_encryption impact %% Verbindungen action_drive_by –>|ermöglicht| action_content_injection action_content_injection –>|führt_zu| action_user_exec action_user_exec –>|verwendet| malware_initial_payload malware_initial_payload –>|benötigt| action_subvert_trust malware_initial_payload –>|löst_aus| action_ingress_transfer action_ingress_transfer –>|lädt_herunter| malware_second_stage malware_second_stage –>|etabliert| action_persistence_linux malware_second_stage –>|etabliert| action_persistence_windows malware_second_stage –>|aktiviert| action_c2 action_c2 –>|führt_durch| action_discovery_domain action_c2 –>|führt_durch| action_discovery_groups action_discovery_domain –>|liefert_informationen_an| action_lateral_move action_discovery_groups –>|liefert_informationen_an| action_lateral_move action_lateral_move –>|führt_zu| action_selective_exclusion action_selective_exclusion –>|geht_voraus| action_impact_encryption

Angriffslauf

Erkennungen

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)

SOC Prime Team
16. Juni 2026

Ansehen

Herunterladen oder Hochladen via Powershell (via cmdline)

SOC Prime Team
16. Juni 2026

Ansehen

Mögliche Systemenumeration (via cmdline)

SOC Prime Team
16. Juni 2026

Ansehen

Mögliche Fernsystementdeckung oder Verbindungsprüfungen (via cmdline)

SOC Prime Team
16. Juni 2026

Ansehen

Mögliche Administrator-Konto- oder Gruppenenumeration (via cmdline)

SOC Prime Team
16. Juni 2026

Ansehen

Verdächtige Domain-Vertrauensstellungen Entdeckung (via cmdline)

SOC Prime Team
16. Juni 2026

Ansehen

Mögliche Tarnungsüberprüfungen (via powershell)

SOC Prime Team
16. Juni 2026

Ansehen

Verdächtige Binärdateien/Skripte im Autostart-Ort (via file_event)

SOC Prime Team
16. Juni 2026

Ansehen

Möglicher Telegram-Missbrauch als Befehl-und-Kontroll-Kanal (via dns_query)

SOC Prime Team
16. Juni 2026

Ansehen

Steam-Community-DNS-Anfrage durchgeführt von einem verdächtigen Prozess (via dns_query)

SOC Prime Team
16. Juni 2026

Ansehen

IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 3

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 2

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 1

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

IOCs (SourceIP) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

IOCs (DestinationIP) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

JunkFiction Downloader und geplanter PowerShell Skripterkennung [Windows Powershell]

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

Erkennung von Supper Backdoor und JunkFiction Downloader [Windows-Prozess-Erstellung]

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

Erkennung von NodeSnake und InterlockRAT-Aktivität [Linux-Prozess-Erstellung]

SOC Prime KI-Regeln
16. Juni 2026

Ansehen

Simulation Ausführung

Voraussetzung: Die Telemetrie-&-Basislinien-Vorflugüberprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffsbericht & Kommandos: Der Angreifer hat erfolgreich einen Entwickler-Arbeitsplatz über einen Lieferkettenangriff kompromittiert (T1195.003). Sie haben eine bösartige Node.js-Nutzlast namens InterlockRAT.js in ein temporäres Verzeichnis abgelegt. Das Ziel ist es, eine persistente Backdoor zu etablieren, um latente Bewegungsmöglichkeiten im Netzwerk zu ermöglichen. Der Angreifer führt das Skript mithilfe der node Laufzeit aus und übergibt spezifische Argumente, um einen SOCKS5-Proxy zur Tunnellinienleitung von Daten einzurichten. Dieser spezifische Befehl zielt darauf ab, die vorhandene Erkennungslogik auszulösen.

  • Regressionstest-Skript:

    # Erstellen eines Dummy-Verzeichnisses für die Malware
mkdir -p /tmp/malware_drop
# Erstellen der 'bösartigen' InterlockRAT.js-Datei
cat < /tmp/malware_drop/InterlockRAT.js
// Simulierte Malware-Logik
console.log("Initialisierung der InterlockRAT-Nutzlast...");
EOF
# Datei mit den spezifischen Zeichenfolgen ausführen, die zur Regeltriggerung erforderlich sind
node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5

  • Bereinigungsbefehle:

    # Entfernen der simulierten Malware-Dateien und -Verzeichnisse
rm -rf /tmp/malware_drop

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten