SOC Prime Bias: Critico

16 Jun 2026 12:58 UTC

Interlock e Rhysida: IA nell’Ecosistema del Ransomware

Author Photo
SOC Prime Team linkedin icon Segui
Interlock e Rhysida: IA nell’Ecosistema del Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

La ricerca di IBM X-Force evidenzia una forte connessione tra gli ecosistemi di ransomware Interlock (Hive0163) e Rhysida. Il rapporto descrive una rete intricata di famiglie di malware condivise, crypter specializzati e broker di accesso iniziali coordinati. Interlock sembra essere un gruppo di minaccia altamente maturo che utilizza strumenti personalizzati come NodeSnake e InterlockRAT e potrebbe essersi evoluto da operatori precedentemente associati a Rhysida.

Indagine

X-Force ha condotto una ricerca a lungo termine per oltre due anni, analizzando campioni di malware, catene di attacco e infrastrutture di staging. L’indagine ha scoperto sostanziali somiglianze di codice tra vari backdoor e ha tracciato lo sviluppo di crypter dedicati come JunkFiction e Tomb. I ricercatori hanno anche mappato legami tra attori delle minacce e broker di accesso iniziale attraverso infrastrutture e strumenti sovrapposti.

Mitigazione

Le organizzazioni dovrebbero implementare capacità avanzate di rilevamento e risposta degli endpoint per identificare comportamenti sospetti nei processi, inclusa l’attività imprevista di PowerShell e modifiche non autorizzate al registro. Il patching tempestivo dei dispositivi di rete esposti a internet è essenziale per ridurre il rischio di sfruttamento, incluse vulnerabilità come CVE-2026-20131. Applicare rigorosi controlli WDAC e monitorare l’attività di strumenti RMM non approvati può anche limitare le operazioni post-compromissione.

Risposta

Se si sospetta un’attività di Interlock o Rhysida, isolare immediatamente i sistemi impattati per fermare i movimenti laterali attraverso tunnel RDP o SOCKS5. Eseguire una revisione approfondita dell’infrastruttura di staging e verificare la presenza di strumenti di gestione remoti non autorizzati come ConnectWise ScreenConnect. Revisionare i log per rilevare esecuzioni sospette di PowerShell e investigare eventuali modifiche non autorizzate a compiti pianificati o servizi systemd.

Flusso di Attacco

Rilevamenti

Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)

Team SOC Prime
16 Giu 2026

Download o Upload tramite Powershell (via cmdline)

Team SOC Prime
16 Giu 2026

Possibile Enumerazione del Sistema (via cmdline)

Team SOC Prime
16 Giu 2026

Possibile Scoperta di Sistema Remoto o Verifica di Connettività (via cmdline)

Team SOC Prime
16 Giu 2026

Possibile Enumerazione di Account o Gruppi Amministrativi (via cmdline)

Team SOC Prime
16 Giu 2026

Scoperta Sospetta di Fiducie di Dominio (via cmdline)

Team SOC Prime
16 Giu 2026

Possibili Controlli di Evasione (via powershell)

Team SOC Prime
16 Giu 2026

Binari / Script Sospetti nella Posizione di Avvio Automatico (via file_event)

Team SOC Prime
16 Giu 2026

Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)

Team SOC Prime
16 Giu 2026

Richiesta DNS della Community di Steam Eseguita da un Processo Sospetto (via dns_query)

Team SOC Prime
16 Giu 2026

IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 3

Regole AI SOC Prime
16 Giu 2026

IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 2

Regole AI SOC Prime
16 Giu 2026

IOC (HashSha256) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware Parte 1

Regole AI SOC Prime
16 Giu 2026

IOC (SourceIP) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware

Regole AI SOC Prime
16 Giu 2026

IOC (DestinationIP) per rilevare: Intelligenza Artificiale della Sicurezza: Interlock e Rhysida nell’Ecosistema Ransomware

Regole AI SOC Prime
16 Giu 2026

Rilevamento di JunkFiction Downloader e Script PowerShell Pianificato [Windows PowerShell]

Regole AI SOC Prime
16 Giu 2026

Rilevamento di Supper Backdoor e JunkFiction Downloader [Creazione Processo Windows]

Regole AI SOC Prime
16 Giu 2026

Rilevamento di Attività di NodeSnake e InterlockRAT [Creazione Processo Linux]

Regole AI SOC Prime
16 Giu 2026

Esecuzione Simulazione

Requisito: Il Controllo Pre-volo del Telemetria & Base deve essere stato superato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa dell’Attacco & Comandi: L’avversario ha compromesso con successo la workstation di un sviluppatore tramite un attacco alla catena di fornitura (T1195.003). Ha rilasciato un payload maligno Node.js chiamato InterlockRAT.js in una directory temporanea. L’obiettivo è stabilire una backdoor persistente per facilitare il movimento laterale all’interno della rete. L’attaccante esegue lo script utilizzando il runtime node, passando argomenti specifici per inizializzare un proxy SOCKS5 per canalizzare il traffico. Questo comando specifico è progettato per attivare la logica di rilevamento esistente. runtime, passing specific arguments to initialize a SOCKS5 proxy for tunneling traffic. This specific command is designed to trigger the existing detection logic.

  • Script di Test di Regressione:

    # Creare una directory fittizia per il malware 
    mkdir -p /tmp/malware_drop
    # Creare il file 'maligno' InterlockRAT.js
    cat < /tmp/malware_drop/InterlockRAT.js
    // Logica malware simulata
    console.log("Inizializzazione del payload InterlockRAT...");
    EOF
    # Eseguire il file con le stringhe specifiche richieste per attivare la regola
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • Comandi di Pulizia:

    # Rimuovere i file malware simulati e le directory
    rm -rf /tmp/malware_drop