Interlock e Rhysida: IA no Ecossistema de Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A pesquisa IBM X-Force destaca uma forte conexão entre os ecossistemas de ransomware Interlock (Hive0163) e Rhysida. O relatório delineia uma rede intrincada de famílias de malware compartilhadas, crypters especializados e brokers de acesso inicial coordenados. Interlock parece ser um grupo de ameaça muito maduro usando ferramentas personalizadas como NodeSnake e InterlockRAT, e pode ter evoluído de operadores anteriormente associados ao Rhysida.
Investigação
A X-Force realizou uma pesquisa de longo prazo por mais de dois anos, analisando amostras de malware, cadeias de ataque e infraestrutura de preparação. A investigação revelou semelhanças substanciais de código em diversos backdoors e rastreou o desenvolvimento de crypters dedicados como JunkFiction e Tomb. Pesquisadores também mapearam conexões entre atores de ameaça e brokers de acesso inicial através de infraestrutura e uso de ferramentas sobrepostos.
Mitigação
As organizações devem implementar capacidades fortes de detecção e resposta em endpoint para identificar comportamentos suspeitos de processos, incluindo atividade inesperada do PowerShell e alterações não autorizadas no registro. A aplicação rápida de patches em dispositivos de rede voltados para a internet é essencial para reduzir o risco de exploração, incluindo vulnerabilidades como CVE-2026-20131. A imposição de controles rígidos de WDAC e o monitoramento de atividade de ferramentas de RMM não aprovadas também podem limitar operações pós-comprometimento.
Resposta
Se houver suspeita de atividade do Interlock ou Rhysida, isole os sistemas impactados imediatamente para interromper o movimento lateral através de túneis RDP ou SOCKS5. Realize uma revisão completa da infraestrutura de preparação e verifique ferramentas de gerenciamento remoto não autorizadas como ConnectWise ScreenConnect. Revise logs para execuções suspeitas de PowerShell e investigue quaisquer alterações não autorizadas envolvendo tarefas agendadas ou serviços systemd.
Fluxo de Ataque
Detecções
Pontos Possíveis de Persistência [ASEPs – Hive de Software/NTUSER] (via registry_event)
Ver
Download ou Upload via Powershell (via cmdline)
Ver
Possível Enumeração de Sistema (via cmdline)
Ver
Possível Descoberta de Sistema Remoto ou Verificação de Conectividade (via cmdline)
Ver
Possível Enumeração de Conta ou Grupo de Administrador (via cmdline)
Ver
Descoberta Suspeita de Confianças de Domínio (via cmdline)
Ver
Possíveis Verificações de Evasão (via powershell)
Ver
Binários / Scripts Suspeitos em Local de Autoinicialização (via file_event)
Ver
Possível Abuso do Telegram como Canal de Comando e Controle (via dns_query)
Ver
Requisição DNS da Comunidade Steam Executada por Processo Suspeito (via dns_query)
Ver
IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 3
Ver
IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 2
Ver
IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 1
Ver
IOCs (SourceIP) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware
Ver
IOCs (DestinationIP) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware
Ver
Detecção do JunkFiction Downloader e Script Agendado do PowerShell [Windows Powershell]
Ver
Detecção do Backdoor Supper e JunkFiction Downloader [Criação de Processo no Windows]
Ver
Detecção de Atividade do NodeSnake e InterlockRAT [Criação de Processo no Linux]
Ver
Execução da Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria e Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.
-
Narrativa do Ataque e Comandos: O adversário comprometeu com sucesso a estação de trabalho de um desenvolvedor por meio de um ataque à cadeia de suprimentos (T1195.003). Eles inseriram um payload Node.js malicioso chamado
InterlockRAT.jsem um diretório temporário. O objetivo é estabelecer um backdoor persistente para facilitar o movimento lateral dentro da rede. O invasor executa o script usando onoderuntime, passando argumentos específicos para inicializar um proxy SOCKS5 para tunelamento de tráfego. Este comando específico é projetado para acionar a lógica de detecção existente. -
Script de Teste de Regressão:
# Criar um diretório fictício para o malware mkdir -p /tmp/malware_drop # Criar o arquivo 'malicioso' InterlockRAT.js cat <<EOF > /tmp/malware_drop/InterlockRAT.js // Lógica de malware simulada console.log("Inicializando o payload do InterlockRAT..."); EOF # Executar o arquivo com as strings específicas necessárias para acionar a regra node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
Comandos de Limpeza:
# Remover os arquivos e diretórios de malware simulados rm -rf /tmp/malware_drop