Interlockランサムウェアの検出：FBIとCISAがClickFixを悪用した大規模攻撃に共同警告

2025年7月中旬、研究者らはInterlockランサムウェアグループが、改変版ClickFixマルウェアを使用してPHPベースの新しいRATを配布していることを報告しました。この脅威に対応するため、FBIやCISAをはじめとする複数の機関が共同でサイバー防御コミュニティに警告を発し、攻撃者は正規サイトを改ざんしたドライブバイダウンロードやClickFix型ソーシャルエンジニアリング戦術を悪用し、データの流出と暗号化による二重身代金モデルを展開しています。

Interlockランサムウェア活動の検出

IBMによると、侵害は平均250日以上未検出のまま放置され、その回復コストは約499万ドルに上ります。また、CISAおよび提携機関が発した最新のaa25-203a警告では、Interlockグループが既に複数の業界で被害を広げている事実が示されています。

SOC Primeプラットフォームに登録すると、InterlockランサムウェアのTTPを監視する専用ルールセットにアクセスできます。Explore Detections ボタンで、CTI（脅威インテリジェンス）を含む検出ルール群と高度な検知・ハンティング製品群を利用可能です。

Explore Detections

全ルールは複数のSIEM、EDR、Data Lakeと互換性があり、MITRE ATT&CKフレームワークにマッピングされています。また、各ルールにはCTI参照、攻撃タイムライン、トリアージ推奨などの詳細なメタデータが付加されています。

オプションとして“Interlock Ransomware”および“aa25-203a”タグでコンテンツをフィルタリングでき、“Ransomware”タグでグローバルなランサムウェア検出ルールにアクセス可能です。

さらにセキュリティ専門家は、Uncoder AIを活用し、検出アルゴリズムの自動生成、IOCスキャン、ATT&CKタグ予測、AIによるクエリ最適化、およびSIEM/EDR形式へのコード変換を実施できます。例としてaa25-203a警告からワンクリックでAttack Flowを生成できます。

aa25-203a警告に基づくInterlockランサムウェア解析

Interlockランサムウェアは比較的新たな脅威ですが、迅速に技術的洗練と影響力を拡大しています。2024年9月以降、北米・欧州の各種組織や重要インフラを標的とし、金銭目的の攻撃者が侵入・サービス妨害を仕掛け、二重身代金モデルでTorネットワーク上の.onionアドレスによって被害者と交渉しています。

現在までInterlockは主に仮想マシン(VM)を暗号化していますが、将来的にはホストや物理サーバーへの拡大も懸念されます。また、オープンソース報告によりInterlockとRhysidaランサムウェアの類似性が指摘されています。

調査によれば、攻撃者はドライブバイやClickFix手法による初期アクセスを試み、偽CAPTCHA経由でBase64形式PowerShellを実行させ、RATをインストールしてスタートアップ登録と“Chrome Updater”レジストリキーの追加によって持続性を確保しています。

その後、PowerShellでシステム情報収集を行い、Cobalt StrikeやSystemBC、Interlock RAT5、NodeSnake RATをC2に使用し、cht.exe（認証情報収集）、klg.dll（キーロガー）を展開。LummaやBerserk Stealerを使って権限昇格を図り、Azure Storage Explorer／AzCopy／WinSCPでクラウド／ネットワーク経由のデータ流出を実施。横移動にはRDP／AnyDesk／PuTTY／Kerberoastingを活用しています。

推奨対策として、DNSフィルタリング、ウェブアプリ防火壁、NIST準拠のパスワードポリシー、MFA、ICAMの有効化、ソフト・ファームウェアの定期更新、CVE優先修正、ネットワーク分割など多層防御戦略の導入が必要です。さらに、SOC Prime製品群を活用したAI、自動化、リアルタイムCTI、ゼロトラストセキュリティによる拡張可能で将来対応型のサイバー防御体制が実現できます。