Interlock et Rhysida : L’IA dans l’écosystème des ransomwares
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
La recherche IBM X-Force met en évidence un lien fort entre les écosystèmes ransomware Interlock (Hive0163) et Rhysida. Le rapport décrit un réseau complexe de familles de logiciels malveillants partagées, de crypteurs spécialisés et de brokers d’accès initial coordonnés. Interlock semble être un groupe de menaces très mature utilisant des outils personnalisés comme NodeSnake et InterlockRAT, et il pourrait avoir évolué à partir d’opérateurs précédemment associés à Rhysida.
Enquête
X-Force a mené des recherches à long terme sur plus de deux ans, analysant des échantillons de logiciels malveillants, des chaînes d’attaque et des infrastructures de mise en scène. L’enquête a révélé d’importantes similitudes de code entre plusieurs portes dérobées et a suivi le développement de crypteurs dédiés tels que JunkFiction et Tomb. Les chercheurs ont également cartographié les liens entre les acteurs de la menace et les brokers d’accès initial à travers l’infrastructure et l’utilisation d’outils qui se chevauchent.
Atténuation
Les organisations devraient déployer des capacités de détection et de réponse aux points de terminaison robustes pour identifier les comportements de processus suspects, y compris une activité PowerShell inattendue et des changements de registre non autorisés. Le correctif immédiat des appareils réseau exposés à Internet est essentiel pour réduire le risque d’exploitation, y compris les vulnérabilités telles que CVE-2026-20131. L’application stricte des contrôles WDAC et la surveillance de l’activité des outils RMM non approuvés peuvent également limiter les opérations après compromettre.
Réponse
Si une activité d’Interlock ou de Rhysida est suspectée, isolez immédiatement les systèmes impactés pour arrêter le déplacement latéral via des tunnels RDP ou SOCKS5. Menez un examen approfondi de l’infrastructure de mise en scène et vérifiez la présence d’outils de gestion à distance non autorisés tels que ConnectWise ScreenConnect. Passez en revue les journaux pour des exécutions PowerShell suspectes et enquêtez sur tout changement non autorisé concernant les tâches planifiées ou les services systemd.
Flux d’Attaque
Détection
Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)
Voir
Téléchargement ou téléversement via Powershell (via cmdline)
Voir
Énumération possible du système (via cmdline)
Voir
Découverte possible de systèmes distants ou vérification de connectivité (via cmdline)
Voir
Énumération possible de comptes administratifs ou de groupes (via cmdline)
Voir
Découverte suspecte de trusts de domaine (via cmdline)
Voir
Vérifications d’évasion possibles (via powershell)
Voir
Binaire / scripts suspects dans l’emplacement de démarrage automatique (via file_event)
Voir
Abus possible de Telegram comme canal de commande et contrôle (via dns_query)
Voir
Demande DNS de la communauté Steam effectuée par un processus suspect (via dns_query)
Voir
IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 3
Voir
IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 2
Voir
IOCs (HashSha256) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware Partie 1
Voir
IOCs (SourceIP) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware
Voir
IOCs (DestinationIP) pour détecter : Intelligence artificielle en sécurité : Interlock et Rhysida au sein de l’écosystème ransomware
Voir
Détection du téléchargeur JunkFiction et du script PowerShell planifié [Windows Powershell]
Voir
Détection du Supper Backdoor et du téléchargeur JunkFiction [Création de processus Windows]
Voir
Détection de l’activité de NodeSnake et InterlockRAT [Création de processus Linux]
Voir
Exécution de la Simulation
Prérequis : La vérification de télémétrie et de base doit avoir réussi.
Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Narratif de l’Attaque & Commandes : L’adversaire a réussi à compromettre le poste de travail d’un développeur via une attaque sur la chaîne d’approvisionnement (T1195.003). Ils ont déposé une charge utile malveillante Node.js nommée
InterlockRAT.jsdans un répertoire temporaire. L’objectif est d’établir une porte dérobée persistante pour faciliter le déplacement latéral au sein du réseau. L’attaquant exécute le script en utilisant leruntime node, en passant des arguments spécifiques pour initialiser un proxy SOCKS5 pour le tunneling du trafic. Cette commande spécifique est conçue pour déclencher la logique de détection existante. -
Script de Test de Régression :
# Créer un répertoire factice pour le malware mkdir -p /tmp/malware_drop # Créer le fichier 'malicieux' InterlockRAT.js cat <<EOF > /tmp/malware_drop/InterlockRAT.js // Logique de malware simulé console.log("Initialisation de la charge utile InterlockRAT..."); EOF # Exécuter le fichier avec les chaînes spécifiques requises pour déclencher la règle node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
Commandes de Nettoyage :
# Supprimer les fichiers et répertoires de malware simulés rm -rf /tmp/malware_drop