SOC Prime Bias: Kritisch

16 Jun 2026 12:58 UTC

Interlock und Rhysida: KI im Ransomware-Ökosystem

Author Photo
SOC Prime Team linkedin icon Folgen
Interlock und Rhysida: KI im Ransomware-Ökosystem
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Die IBM X-Force-Forschung zeigt eine starke Verbindung zwischen den Ransomware-Ökosystemen Interlock (Hive0163) und Rhysida auf. Der Bericht skizziert ein komplexes Netzwerk gemeinsamer Malware-Familien, spezialisierter Crypter und koordinierter Initial-Access-Broker. Interlock scheint eine hochentwickelte Bedrohungsgruppe zu sein, die maßgeschneiderte Tools wie NodeSnake und InterlockRAT verwendet, und könnte sich aus früher mit Rhysida verbundenen Operateuren entwickelt haben.

Untersuchung

X-Force führte über mehr als zwei Jahre langfristige Untersuchungen durch und analysierte Malware-Beispiele, Angriffsabläufe und Bereitstellungsinfrastrukturen. Die Untersuchung deckte erhebliche Code-Ähnlichkeiten bei mehreren Backdoors auf und verfolgte die Entwicklung dedizierter Crypter wie JunkFiction und Tomb. Forscher kartierten auch Verbindungen zwischen Bedrohungsakteuren und Initial-Access-Brokern durch Überlappungen bei Infrastruktur- und Werkzeugnutzung.

Entschärfungsmaßnahmen

Organisationen sollten starke Endpoint-Detection-and-Response-Fähigkeiten einsetzen, um verdächtiges Prozessverhalten zu identifizieren, einschließlich unerwarteter PowerShell-Aktivitäten und unautorisierter Registry-Änderungen. Ein schnelles Patchen von netzwerkausgerichteten Geräten ist unerlässlich, um das Risiko einer Ausnutzung zu verringern, einschließlich Schwachstellen wie CVE-2026-20131. Das Durchsetzen strenger WDAC-Kontrollen und die Überwachung von nicht genehmigten RMM-Tool-Aktivitäten kann auch die Operationen nach einem Vorfall begrenzen.

Reaktion

Sollte eine Aktivität von Interlock oder Rhysida vermutet werden, isolieren Sie betroffene Systeme sofort, um laterale Bewegungen über RDP- oder SOCKS5-Tunnel zu stoppen. Führen Sie eine gründliche Überprüfung der Bereitstellungsinfrastruktur durch und prüfen Sie auf unautorisierte Fernverwaltungswerkzeuge wie ConnectWise ScreenConnect. Überprüfen Sie die Protokolle auf verdächtige PowerShell-Ausführungen und untersuchen Sie alle unautorisierten Änderungen an geplanten Aufgaben oder Systemd-Diensten.

Angriffslauf

Erkennungen

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)

SOC Prime Team
16. Juni 2026

Herunterladen oder Hochladen via Powershell (via cmdline)

SOC Prime Team
16. Juni 2026

Mögliche Systemenumeration (via cmdline)

SOC Prime Team
16. Juni 2026

Mögliche Fernsystementdeckung oder Verbindungsprüfungen (via cmdline)

SOC Prime Team
16. Juni 2026

Mögliche Administrator-Konto- oder Gruppenenumeration (via cmdline)

SOC Prime Team
16. Juni 2026

Verdächtige Domain-Vertrauensstellungen Entdeckung (via cmdline)

SOC Prime Team
16. Juni 2026

Mögliche Tarnungsüberprüfungen (via powershell)

SOC Prime Team
16. Juni 2026

Verdächtige Binärdateien/Skripte im Autostart-Ort (via file_event)

SOC Prime Team
16. Juni 2026

Möglicher Telegram-Missbrauch als Befehl-und-Kontroll-Kanal (via dns_query)

SOC Prime Team
16. Juni 2026

Steam-Community-DNS-Anfrage durchgeführt von einem verdächtigen Prozess (via dns_query)

SOC Prime Team
16. Juni 2026

IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 3

SOC Prime KI-Regeln
16. Juni 2026

IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 2

SOC Prime KI-Regeln
16. Juni 2026

IOCs (HashSha256) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem Teil 1

SOC Prime KI-Regeln
16. Juni 2026

IOCs (SourceIP) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem

SOC Prime KI-Regeln
16. Juni 2026

IOCs (DestinationIP) zur Erkennung: Sicherheits-Künstliche Intelligenz: Interlock und Rhysida im Ransomware-Ökosystem

SOC Prime KI-Regeln
16. Juni 2026

JunkFiction Downloader und geplanter PowerShell Skripterkennung [Windows Powershell]

SOC Prime KI-Regeln
16. Juni 2026

Erkennung von Supper Backdoor und JunkFiction Downloader [Windows-Prozess-Erstellung]

SOC Prime KI-Regeln
16. Juni 2026

Erkennung von NodeSnake und InterlockRAT-Aktivität [Linux-Prozess-Erstellung]

SOC Prime KI-Regeln
16. Juni 2026

Simulation Ausführung

Voraussetzung: Die Telemetrie-&-Basislinien-Vorflugüberprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffsbericht & Kommandos: Der Angreifer hat erfolgreich einen Entwickler-Arbeitsplatz über einen Lieferkettenangriff kompromittiert (T1195.003). Sie haben eine bösartige Node.js-Nutzlast namens InterlockRAT.js in ein temporäres Verzeichnis abgelegt. Das Ziel ist es, eine persistente Backdoor zu etablieren, um latente Bewegungsmöglichkeiten im Netzwerk zu ermöglichen. Der Angreifer führt das Skript mithilfe der node Laufzeit aus und übergibt spezifische Argumente, um einen SOCKS5-Proxy zur Tunnellinienleitung von Daten einzurichten. Dieser spezifische Befehl zielt darauf ab, die vorhandene Erkennungslogik auszulösen.

  • Regressionstest-Skript:

    # Erstellen eines Dummy-Verzeichnisses für die Malware
    mkdir -p /tmp/malware_drop
    # Erstellen der 'bösartigen' InterlockRAT.js-Datei
    cat < /tmp/malware_drop/InterlockRAT.js
    // Simulierte Malware-Logik
    console.log("Initialisierung der InterlockRAT-Nutzlast...");
    EOF
    # Datei mit den spezifischen Zeichenfolgen ausführen, die zur Regeltriggerung erforderlich sind
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • Bereinigungsbefehle:

    # Entfernen der simulierten Malware-Dateien und -Verzeichnisse
    rm -rf /tmp/malware_drop