Interlock e Rhysida: IA nell’Ecosistema del Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
La ricerca di IBM X-Force evidenzia una forte connessione tra gli ecosistemi di ransomware Interlock (Hive0163) e Rhysida. Il rapporto descrive una rete intricata di famiglie di malware condivise, crypter specializzati e broker di accesso iniziali coordinati. Interlock sembra essere un gruppo di minaccia altamente maturo che utilizza strumenti personalizzati come NodeSnake e InterlockRAT e potrebbe essersi evoluto da operatori precedentemente associati a Rhysida.
Indagine
X-Force ha condotto una ricerca a lungo termine per oltre due anni, analizzando campioni di malware, catene di attacco e infrastrutture di staging. L’indagine ha scoperto sostanziali somiglianze di codice tra vari backdoor e ha tracciato lo sviluppo di crypter dedicati come JunkFiction e Tomb. I ricercatori hanno anche mappato legami tra attori delle minacce e broker di accesso iniziale attraverso infrastrutture e strumenti sovrapposti.
Mitigazione
Le organizzazioni dovrebbero implementare capacità avanzate di rilevamento e risposta degli endpoint per identificare comportamenti sospetti nei processi, inclusa l’attività imprevista di PowerShell e modifiche non autorizzate al registro. Il patching tempestivo dei dispositivi di rete esposti a internet è essenziale per ridurre il rischio di sfruttamento, incluse vulnerabilità come CVE-2026-20131. Applicare rigorosi controlli WDAC e monitorare l’attività di strumenti RMM non approvati può anche limitare le operazioni post-compromissione.
Risposta
Se si sospetta un’attività di Interlock o Rhysida, isolare immediatamente i sistemi impattati per fermare i movimenti laterali attraverso tunnel RDP o SOCKS5. Eseguire una revisione approfondita dell’infrastruttura di staging e verificare la presenza di strumenti di gestione remoti non autorizzati come ConnectWise ScreenConnect. Revisionare i log per rilevare esecuzioni sospette di PowerShell e investigare eventuali modifiche non autorizzate a compiti pianificati o servizi systemd.
Flusso di Attacco
Rilevamenti
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Download o Upload tramite Powershell (via cmdline)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Possibile Scoperta di Sistema Remoto o Verifica di Connettività (via cmdline)
Visualizza
Possibile Enumerazione di Account o Gruppi Amministrativi (via cmdline)
Visualizza
Scoperta Sospetta di Fiducie di Dominio (via cmdline)
Visualizza
Possibili Controlli di Evasione (via powershell)
Visualizza
Binari / Script Sospetti nella Posizione di Avvio Automatico (via file_event)
Visualizza
Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)
Visualizza
Richiesta DNS della Community di Steam Eseguita da un Processo Sospetto (via dns_query)
Visualizza
IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 3
Visualizza
IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 2
Visualizza
IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 1
Visualizza
IOC (SourceIP) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware
Visualizza
IOC (DestinationIP) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware
Visualizza
Rilevamento di JunkFiction Downloader e Script PowerShell Pianificato [Windows PowerShell]
Visualizza
Rilevamento di Supper Backdoor e JunkFiction Downloader [Creazione Processo Windows]
Visualizza
Rilevamento di Attività di NodeSnake e InterlockRAT [Creazione Processo Linux]
Visualizza
Esecuzione Simulazione
Requisito: Il Controllo Pre-volo del Telemetria & Base deve essere stato superato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa dell’Attacco & Comandi: L’avversario ha compromesso con successo la workstation di un sviluppatore tramite un attacco alla catena di fornitura (T1195.003). Ha rilasciato un payload maligno Node.js chiamato
InterlockRAT.jsin una directory temporanea. L’obiettivo è stabilire una backdoor persistente per facilitare il movimento laterale all’interno della rete. L’attaccante esegue lo script utilizzando ilruntime node, passando argomenti specifici per inizializzare un proxy SOCKS5 per canalizzare il traffico. Questo comando specifico è progettato per attivare la logica di rilevamento esistente.runtime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic. -
Script di Test di Regressione:
# Creare una directory fittizia per il malware mkdir -p /tmp/malware_drop # Creare il file 'maligno' InterlockRAT.js cat </tmp/malware_drop/InterlockRAT.js // Logica malware simulata console.log("Inizializzazione del payload InterlockRAT..."); EOF # Eseguire il file con le stringhe specifiche richieste per attivare la regola node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
Comandi di Pulizia:
# Rimuovere i file malware simulati e le directory rm -rf /tmp/malware_drop