SOC Prime Bias: Crítico

16 Jun 2026 12:58 UTC

Interlock e Rhysida: IA no Ecossistema de Ransomware

Author Photo
SOC Prime Team linkedin icon Seguir
Interlock e Rhysida: IA no Ecossistema de Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A pesquisa IBM X-Force destaca uma forte conexão entre os ecossistemas de ransomware Interlock (Hive0163) e Rhysida. O relatório delineia uma rede intrincada de famílias de malware compartilhadas, crypters especializados e brokers de acesso inicial coordenados. Interlock parece ser um grupo de ameaça muito maduro usando ferramentas personalizadas como NodeSnake e InterlockRAT, e pode ter evoluído de operadores anteriormente associados ao Rhysida.

Investigação

A X-Force realizou uma pesquisa de longo prazo por mais de dois anos, analisando amostras de malware, cadeias de ataque e infraestrutura de preparação. A investigação revelou semelhanças substanciais de código em diversos backdoors e rastreou o desenvolvimento de crypters dedicados como JunkFiction e Tomb. Pesquisadores também mapearam conexões entre atores de ameaça e brokers de acesso inicial através de infraestrutura e uso de ferramentas sobrepostos.

Mitigação

As organizações devem implementar capacidades fortes de detecção e resposta em endpoint para identificar comportamentos suspeitos de processos, incluindo atividade inesperada do PowerShell e alterações não autorizadas no registro. A aplicação rápida de patches em dispositivos de rede voltados para a internet é essencial para reduzir o risco de exploração, incluindo vulnerabilidades como CVE-2026-20131. A imposição de controles rígidos de WDAC e o monitoramento de atividade de ferramentas de RMM não aprovadas também podem limitar operações pós-comprometimento.

Resposta

Se houver suspeita de atividade do Interlock ou Rhysida, isole os sistemas impactados imediatamente para interromper o movimento lateral através de túneis RDP ou SOCKS5. Realize uma revisão completa da infraestrutura de preparação e verifique ferramentas de gerenciamento remoto não autorizadas como ConnectWise ScreenConnect. Revise logs para execuções suspeitas de PowerShell e investigue quaisquer alterações não autorizadas envolvendo tarefas agendadas ou serviços systemd.

Fluxo de Ataque

Detecções

Pontos Possíveis de Persistência [ASEPs – Hive de Software/NTUSER] (via registry_event)

Equipe SOC Prime
16 Jun 2026

Download ou Upload via Powershell (via cmdline)

Equipe SOC Prime
16 Jun 2026

Possível Enumeração de Sistema (via cmdline)

Equipe SOC Prime
16 Jun 2026

Possível Descoberta de Sistema Remoto ou Verificação de Conectividade (via cmdline)

Equipe SOC Prime
16 Jun 2026

Possível Enumeração de Conta ou Grupo de Administrador (via cmdline)

Equipe SOC Prime
16 Jun 2026

Descoberta Suspeita de Confianças de Domínio (via cmdline)

Equipe SOC Prime
16 Jun 2026

Possíveis Verificações de Evasão (via powershell)

Equipe SOC Prime
16 Jun 2026

Binários / Scripts Suspeitos em Local de Autoinicialização (via file_event)

Equipe SOC Prime
16 Jun 2026

Possível Abuso do Telegram como Canal de Comando e Controle (via dns_query)

Equipe SOC Prime
16 Jun 2026

Requisição DNS da Comunidade Steam Executada por Processo Suspeito (via dns_query)

Equipe SOC Prime
16 Jun 2026

IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 3

Regras de IA SOC Prime
16 Jun 2026

IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 2

Regras de IA SOC Prime
16 Jun 2026

IOCs (HashSha256) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware Parte 1

Regras de IA SOC Prime
16 Jun 2026

IOCs (SourceIP) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware

Regras de IA SOC Prime
16 Jun 2026

IOCs (DestinationIP) para detectar: Inteligência Artificial de Segurança: Interlock e Rhysida dentro do Ecossistema de Ransomware

Regras de IA SOC Prime
16 Jun 2026

Detecção do JunkFiction Downloader e Script Agendado do PowerShell [Windows Powershell]

Regras de IA SOC Prime
16 Jun 2026

Detecção do Backdoor Supper e JunkFiction Downloader [Criação de Processo no Windows]

Regras de IA SOC Prime
16 Jun 2026

Detecção de Atividade do NodeSnake e InterlockRAT [Criação de Processo no Linux]

Regras de IA SOC Prime
16 Jun 2026

Execução da Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.

  • Narrativa do Ataque e Comandos: O adversário comprometeu com sucesso a estação de trabalho de um desenvolvedor por meio de um ataque à cadeia de suprimentos (T1195.003). Eles inseriram um payload Node.js malicioso chamado InterlockRAT.js em um diretório temporário. O objetivo é estabelecer um backdoor persistente para facilitar o movimento lateral dentro da rede. O invasor executa o script usando o node runtime, passando argumentos específicos para inicializar um proxy SOCKS5 para tunelamento de tráfego. Este comando específico é projetado para acionar a lógica de detecção existente.

  • Script de Teste de Regressão:

    # Criar um diretório fictício para o malware
    mkdir -p /tmp/malware_drop
    
    # Criar o arquivo 'malicioso' InterlockRAT.js
    cat <<EOF > /tmp/malware_drop/InterlockRAT.js
    // Lógica de malware simulada
    console.log("Inicializando o payload do InterlockRAT...");
    EOF
    
    # Executar o arquivo com as strings específicas necessárias para acionar a regra
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • Comandos de Limpeza:

    # Remover os arquivos e diretórios de malware simulados
    rm -rf /tmp/malware_drop