Interlock e Rhysida: IA nell’Ecosistema del Ransomware

SOC Prime Team

Segui

Interlock e Rhysida: IA nell’Ecosistema del Ransomware

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riassunto

La ricerca di IBM X-Force evidenzia una forte connessione tra gli ecosistemi di ransomware Interlock (Hive0163) e Rhysida. Il rapporto descrive una rete intricata di famiglie di malware condivise, crypter specializzati e broker di accesso iniziali coordinati. Interlock sembra essere un gruppo di minaccia altamente maturo che utilizza strumenti personalizzati come NodeSnake e InterlockRAT e potrebbe essersi evoluto da operatori precedentemente associati a Rhysida.

Indagine

X-Force ha condotto una ricerca a lungo termine per oltre due anni, analizzando campioni di malware, catene di attacco e infrastrutture di staging. L’indagine ha scoperto sostanziali somiglianze di codice tra vari backdoor e ha tracciato lo sviluppo di crypter dedicati come JunkFiction e Tomb. I ricercatori hanno anche mappato legami tra attori delle minacce e broker di accesso iniziale attraverso infrastrutture e strumenti sovrapposti.

Mitigazione

Le organizzazioni dovrebbero implementare capacità avanzate di rilevamento e risposta degli endpoint per identificare comportamenti sospetti nei processi, inclusa l’attività imprevista di PowerShell e modifiche non autorizzate al registro. Il patching tempestivo dei dispositivi di rete esposti a internet è essenziale per ridurre il rischio di sfruttamento, incluse vulnerabilità come CVE-2026-20131. Applicare rigorosi controlli WDAC e monitorare l’attività di strumenti RMM non approvati può anche limitare le operazioni post-compromissione.

Risposta

Se si sospetta un’attività di Interlock o Rhysida, isolare immediatamente i sistemi impattati per fermare i movimenti laterali attraverso tunnel RDP o SOCKS5. Eseguire una revisione approfondita dell’infrastruttura di staging e verificare la presenza di strumenti di gestione remoti non autorizzati come ConnectWise ScreenConnect. Revisionare i log per rilevare esecuzioni sospette di PowerShell e investigare eventuali modifiche non autorizzate a compiti pianificati o servizi systemd.

graph TB %% Definizione delle classi classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% Fase di accesso iniziale action_drive_by[“Azione – Le vittime vengono attirate tramite siti web fraudolenti, pubblicità malevole o reindirizzamenti dei motori di ricerca.”] class action_drive_by initial_access action_content_injection[“Azione – Utilizzo di Traffic Distribution Systems (TDS) come TAG-124 o ClickFix per reindirizzare gli utenti.”] class action_content_injection initial_access action_subvert_trust[“Azione – Utilizzo di certificati fraudolenti come quelli di Foshan Yongqiheng Trading Co., Ltd.”] class action_subvert_trust evasion %% Fase di esecuzione e trasferimento action_user_exec[“Azione – Esecuzione di installer trojanizzati (ad esempio Microsoft Teams, Chrome o Edge).”] class action_user_exec execution malware_initial_payload[“Malware – JunkFiction, NodeSnake o Endico Downloader di primo livello eseguiti tramite interazione dell’utente.”] class malware_initial_payload tool_malware action_ingress_transfer[“Azione – Recupero di malware di seconda fase dai server remoti di Comando e Controllo.”] class action_ingress_transfer execution malware_second_stage[“Malware – Supper o InterlockRAT Backdoor di seconda fase recuperate per consentire l’accesso remoto.”] class malware_second_stage tool_malware %% Fase di persistenza action_persistence_linux[“Azione – Varianti Linux di NodeSnake che creano nuovi servizi systemd.”] class action_persistence_linux persistence action_persistence_windows[“Azione – Persistenza Windows Utilizzo di modifiche alla configurazione della shell per mantenere il controllo del sistema.”] class action_persistence_windows persistence %% Fase Command and Control action_c2[“Azione – Creazione di reverse shell e tunnel SOCKS5 per comunicazioni nascoste.”] class action_c2 command_control %% Fase di discovery action_discovery_domain[“Azione – Enumerazione degli account di dominio tramite comandi come net user /domain.”] class action_discovery_domain discovery action_discovery_groups[“Azione – Enumerazione dei gruppi tramite net group domain admins /domain.”] class action_discovery_groups discovery %% Movimento laterale e impatto action_lateral_move[“Azione – Movimento nell’ambiente tramite sessioni RDP avviate attraverso reverse shell.”] class action_lateral_move lateral_movement action_selective_exclusion[“Azione – Esclusione selettiva Distribuzione di criteri WDAC personalizzati per bloccare Microsoft Defender o Sophos EDR.”] class action_selective_exclusion evasion action_impact_encryption[“Azione – Distribuzione finale dei ransomware Interlock o Rhysida per cifrare i file delle vittime.”] class action_impact_encryption impact %% Connessioni action_drive_by –>|facilita| action_content_injection action_content_injection –>|porta_a| action_user_exec action_user_exec –>|utilizza| malware_initial_payload malware_initial_payload –>|richiede| action_subvert_trust malware_initial_payload –>|attiva| action_ingress_transfer action_ingress_transfer –>|scarica| malware_second_stage malware_second_stage –>|stabilisce| action_persistence_linux malware_second_stage –>|stabilisce| action_persistence_windows malware_second_stage –>|abilita| action_c2 action_c2 –>|esegue| action_discovery_domain action_c2 –>|esegue| action_discovery_groups action_discovery_domain –>|fornisce_informazioni_a| action_lateral_move action_discovery_groups –>|fornisce_informazioni_a| action_lateral_move action_lateral_move –>|porta_a| action_selective_exclusion action_selective_exclusion –>|precede| action_impact_encryption

Interlock e Rhysida: IA nell’Ecosistema del Ransomware

Riassunto

Indagine

Mitigazione

Risposta

Flusso di Attacco

Rilevamenti

Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)

Download o Upload tramite Powershell (via cmdline)

Possibile Enumerazione del Sistema (via cmdline)

Possibile Scoperta di Sistema Remoto o Verifica di Connettività (via cmdline)

Possibile Enumerazione di Account o Gruppi Amministrativi (via cmdline)

Scoperta Sospetta di Fiducie di Dominio (via cmdline)

Possibili Controlli di Evasione (via powershell)

Binari / Script Sospetti nella Posizione di Avvio Automatico (via file_event)

Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)

Richiesta DNS della Community di Steam Eseguita da un Processo Sospetto (via dns_query)

IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 3

IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 2

IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 1

IOC (SourceIP) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware

IOC (DestinationIP) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware

Rilevamento di JunkFiction Downloader e Script PowerShell Pianificato [Windows PowerShell]

Rilevamento di Supper Backdoor e JunkFiction Downloader [Creazione Processo Windows]

Rilevamento di Attività di NodeSnake e InterlockRAT [Creazione Processo Linux]

Esecuzione Simulazione