Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
https://www.secnews.gr/653794/ransomware-omada-interlock-xrisimopoiei-neo-rat-malware/
Jul 14th 2025, 14:58
by Digital Fortress
Η ransomware συμμορία Interlock χρησιμοποιεί τώρα ένα νέο Remote Access Trojan (RAT) γραμμένο σε γλώσσα PHP.
Η αποκάλυψη ήρθε μέσα από συνεργατική ανάλυση της DFIR Report και της Proofpoint, και αναδεικνύει το τεχνολογικό εύρος και την προσαρμοστικότητα της ομάδας Interlock. Το νέο RAT παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2025, και έχει ήδη αξιοποιηθεί σε επιθέσεις ευρείας κλίμακας με στόχο επιχειρήσεις και κυβερνητικούς οργανισμούς.
PHP-based RAT: Νέα όπλα σε παλιό πεδίο
Σε αντίθεση με το NodeSnake RAT (γραμμένο σε JavaScript), που χρησιμοποιήθηκε πρόσφατα από την Interlock, η νέα παραλλαγή αξιοποιεί την PHP, μια ευρέως χρησιμοποιούμενη γλώσσα scripting που συνήθως απαντάται στον χώρο του web development. Αυτή η επιλογή υποδηλώνει μια στρατηγική κίνηση από τους επιτιθέμενους: χρήση μιας ελαφριάς, ευέλικτης και διαλειτουργικής πλατφόρμας που μπορεί να αναπτυχθεί εύκολα σε διακομιστές και υποδομές που φιλοξενούνται σε cloud ή κοινές πλατφόρμες.
Δείτε επίσης: Η ransomware ομάδα Interlock πίσω από την επίθεση στο Kettering Health;
Σε ορισμένες περιπτώσεις, η ανάπτυξη της παραλλαγής PHP του Interlock RAT οδήγησε στην ανάπτυξη της έκδοσης Node.js.
Πώς λειτουργεί το νέο RAT της ransomware συμμορίας Interlock
Η λειτουργία του νέου RAT περιλαμβάνει αυτοματοποιημένη χαρτογράφηση του συστήματος, συλλογή λεπτομερών τεχνικών στοιχείων (μέσω PowerShell), καταγραφή υπηρεσιών και εκτελούμενων διεργασιών, έλεγχο επιπέδων πρόσβασης και τελικά δημιουργία καναλιού εντολών και ελέγχου (C2) με υποδομή που κρύβεται πίσω από Cloudflare Tunnel.
Με ενσωματωμένες εφεδρικές IP, το malware εξασφαλίζει επιβίωση και επικοινωνία ακόμα και αν υπάρξουν διακοπές στο βασικό του κανάλι. Οι δυνατότητες που παρέχει στον απειλητικό παράγοντα είναι ανησυχητικά εκτενείς:
• Απομακρυσμένη εκτέλεση εντολών shell
• Επίτευξη persistence μέσω Registry (Run key)
• Κακόβουλη χρήση RDP για lateral movement
• Εκτέλεση αυθαίρετων αρχείων
• Αυτο-απενεργοποίηση
Επιθέσεις FileFix: Η νέα γενιά κοινωνικής μηχανικής
Η έκδοση PHP του Interlock RAT παρατηρήθηκε ως μέρος μιας ευρύτερης καμπάνιας της ransomware συμμορίας Interlock, η οποία είναι ενεργή τουλάχιστον από τον Μάιο του 2025. Η αρχική πρόσβαση σε συστήματα επιτυγχάνεται μέσω της τεχνικής FileFix, μιας εξελιγμένης μορφής κοινωνικής μηχανικής που στηρίζεται στην εξαπάτηση του χρήστη να επικολλήσει κακόβουλο file path στο address bar του Windows File Explorer. Η μέθοδος εξελίσσει το γνωστό ClickFix, αποφεύγοντας το παραδοσιακό popup dialog και βασιζόμενη σε πιο αόρατες και ύπουλες μεθόδους εξαπάτησης.
Δείτε επίσης: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
Η επίθεση ξεκινά από παραβιασμένους ιστότοπους στους οποίους έχει εισαχθεί κρυφά ένα single-line script. Το συνδεδεμένο JavaScript χρησιμοποιεί ισχυρό φιλτράρισμα IP για το payload, το οποίο πρώτα ζητά από τον χρήστη να κάνει κλικ σε ένα captcha για να "Επαληθεύσει ότι είναι άνθρωπος" και στη συνέχεια να επιλέξει "Βήματα επαλήθευσης" για να ανοίξει μια εντολή εκτέλεσης και να την επικολλήσει από το πρόχειρο.
Οικοσύστημα απειλών και στρατηγική επέκτασης
Από το δεύτερο εξάμηνο του 2024, η ransomware ομάδα Interlock έχει συνδεθεί με επιθέσεις σε κυβερνητικές υπηρεσίες των ΗΠΑ και του Ηνωμένου Βασιλείου, χρησιμοποιώντας τακτικές διπλού εκβιασμού — κρυπτογράφηση αρχείων και απειλή διαρροής δεδομένων. Η νέα καμπάνια, ενεργή τουλάχιστον από τον Μάιο του 2025, στοχεύει πολλαπλούς βιομηχανικούς τομείς.
Τεχνολογική και ηθική διάσταση
Το Interlock RAT δεν είναι απλώς ένα ακόμη εργαλείο στον κόσμο του κυβερνοεγκλήματος· αποτελεί ενδεικτικό παράδειγμα της διασταύρωσης web τεχνολογιών και κακόβουλης καινοτομίας. Η χρήση PHP σε RAT — κάτι σπάνιο αλλά εξαιρετικά αποτελεσματικό όταν χρησιμοποιηθεί σωστά — δείχνει τη στροφή των επιτιθέμενων προς εργαλεία που δεν ανιχνεύονται εύκολα από τις παραδοσιακές λύσεις endpoint protection.
Δείτε επίσης: Interlock ransomware: Στοχεύει οργανισμούς υγείας, IT εταιρείες και κυβερνήσεις
Η νέα καμπάνια της Interlock καταδεικνύει ότι οι ομάδες ransomware εξελίσσονται ταχύτατα, συνδυάζοντας παραδοσιακά εργαλεία web, τεχνικές κοινωνικής μηχανικής και σύγχρονες τεχνολογίες C2 για να αποκτήσουν πρόσβαση, να ελέγχουν και τελικά να εκβιάζουν οργανισμούς υψηλού ενδιαφέροντος.
Η αποτελεσματική ανίχνευση και άμυνα έναντι τέτοιων απειλών απαιτεί διατομεακή προσέγγιση: συνδυασμό endpoint detection, sandbox analysis, behavioral analytics και συνεχή εκπαίδευση προσωπικού ενάντια στις μεθόδους κοινωνικής μηχανικής.
Πηγή: www.infosecurity-magazine.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ransomware ομάδα Interlock χρησιμοποιεί νέο RAT malware
https://www.secnews.gr/653794/ransomware-omada-interlock-xrisimopoiei-neo-rat-malware/
Jul 14th 2025, 14:58
by Digital Fortress
Η ransomware συμμορία Interlock χρησιμοποιεί τώρα ένα νέο Remote Access Trojan (RAT) γραμμένο σε γλώσσα PHP.
Η αποκάλυψη ήρθε μέσα από συνεργατική ανάλυση της DFIR Report και της Proofpoint, και αναδεικνύει το τεχνολογικό εύρος και την προσαρμοστικότητα της ομάδας Interlock. Το νέο RAT παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2025, και έχει ήδη αξιοποιηθεί σε επιθέσεις ευρείας κλίμακας με στόχο επιχειρήσεις και κυβερνητικούς οργανισμούς.
PHP-based RAT: Νέα όπλα σε παλιό πεδίο
Σε αντίθεση με το NodeSnake RAT (γραμμένο σε JavaScript), που χρησιμοποιήθηκε πρόσφατα από την Interlock, η νέα παραλλαγή αξιοποιεί την PHP, μια ευρέως χρησιμοποιούμενη γλώσσα scripting που συνήθως απαντάται στον χώρο του web development. Αυτή η επιλογή υποδηλώνει μια στρατηγική κίνηση από τους επιτιθέμενους: χρήση μιας ελαφριάς, ευέλικτης και διαλειτουργικής πλατφόρμας που μπορεί να αναπτυχθεί εύκολα σε διακομιστές και υποδομές που φιλοξενούνται σε cloud ή κοινές πλατφόρμες.
Δείτε επίσης: Η ransomware ομάδα Interlock πίσω από την επίθεση στο Kettering Health;
Σε ορισμένες περιπτώσεις, η ανάπτυξη της παραλλαγής PHP του Interlock RAT οδήγησε στην ανάπτυξη της έκδοσης Node.js.
Πώς λειτουργεί το νέο RAT της ransomware συμμορίας Interlock
Η λειτουργία του νέου RAT περιλαμβάνει αυτοματοποιημένη χαρτογράφηση του συστήματος, συλλογή λεπτομερών τεχνικών στοιχείων (μέσω PowerShell), καταγραφή υπηρεσιών και εκτελούμενων διεργασιών, έλεγχο επιπέδων πρόσβασης και τελικά δημιουργία καναλιού εντολών και ελέγχου (C2) με υποδομή που κρύβεται πίσω από Cloudflare Tunnel.
Με ενσωματωμένες εφεδρικές IP, το malware εξασφαλίζει επιβίωση και επικοινωνία ακόμα και αν υπάρξουν διακοπές στο βασικό του κανάλι. Οι δυνατότητες που παρέχει στον απειλητικό παράγοντα είναι ανησυχητικά εκτενείς:
• Απομακρυσμένη εκτέλεση εντολών shell
• Επίτευξη persistence μέσω Registry (Run key)
• Κακόβουλη χρήση RDP για lateral movement
• Εκτέλεση αυθαίρετων αρχείων
• Αυτο-απενεργοποίηση
Επιθέσεις FileFix: Η νέα γενιά κοινωνικής μηχανικής
Η έκδοση PHP του Interlock RAT παρατηρήθηκε ως μέρος μιας ευρύτερης καμπάνιας της ransomware συμμορίας Interlock, η οποία είναι ενεργή τουλάχιστον από τον Μάιο του 2025. Η αρχική πρόσβαση σε συστήματα επιτυγχάνεται μέσω της τεχνικής FileFix, μιας εξελιγμένης μορφής κοινωνικής μηχανικής που στηρίζεται στην εξαπάτηση του χρήστη να επικολλήσει κακόβουλο file path στο address bar του Windows File Explorer. Η μέθοδος εξελίσσει το γνωστό ClickFix, αποφεύγοντας το παραδοσιακό popup dialog και βασιζόμενη σε πιο αόρατες και ύπουλες μεθόδους εξαπάτησης.
Δείτε επίσης: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
Η επίθεση ξεκινά από παραβιασμένους ιστότοπους στους οποίους έχει εισαχθεί κρυφά ένα single-line script. Το συνδεδεμένο JavaScript χρησιμοποιεί ισχυρό φιλτράρισμα IP για το payload, το οποίο πρώτα ζητά από τον χρήστη να κάνει κλικ σε ένα captcha για να "Επαληθεύσει ότι είναι άνθρωπος" και στη συνέχεια να επιλέξει "Βήματα επαλήθευσης" για να ανοίξει μια εντολή εκτέλεσης και να την επικολλήσει από το πρόχειρο.
Οικοσύστημα απειλών και στρατηγική επέκτασης
Από το δεύτερο εξάμηνο του 2024, η ransomware ομάδα Interlock έχει συνδεθεί με επιθέσεις σε κυβερνητικές υπηρεσίες των ΗΠΑ και του Ηνωμένου Βασιλείου, χρησιμοποιώντας τακτικές διπλού εκβιασμού — κρυπτογράφηση αρχείων και απειλή διαρροής δεδομένων. Η νέα καμπάνια, ενεργή τουλάχιστον από τον Μάιο του 2025, στοχεύει πολλαπλούς βιομηχανικούς τομείς.
Τεχνολογική και ηθική διάσταση
Το Interlock RAT δεν είναι απλώς ένα ακόμη εργαλείο στον κόσμο του κυβερνοεγκλήματος· αποτελεί ενδεικτικό παράδειγμα της διασταύρωσης web τεχνολογιών και κακόβουλης καινοτομίας. Η χρήση PHP σε RAT — κάτι σπάνιο αλλά εξαιρετικά αποτελεσματικό όταν χρησιμοποιηθεί σωστά — δείχνει τη στροφή των επιτιθέμενων προς εργαλεία που δεν ανιχνεύονται εύκολα από τις παραδοσιακές λύσεις endpoint protection.
Δείτε επίσης: Interlock ransomware: Στοχεύει οργανισμούς υγείας, IT εταιρείες και κυβερνήσεις
Η νέα καμπάνια της Interlock καταδεικνύει ότι οι ομάδες ransomware εξελίσσονται ταχύτατα, συνδυάζοντας παραδοσιακά εργαλεία web, τεχνικές κοινωνικής μηχανικής και σύγχρονες τεχνολογίες C2 για να αποκτήσουν πρόσβαση, να ελέγχουν και τελικά να εκβιάζουν οργανισμούς υψηλού ενδιαφέροντος.
Η αποτελεσματική ανίχνευση και άμυνα έναντι τέτοιων απειλών απαιτεί διατομεακή προσέγγιση: συνδυασμό endpoint detection, sandbox analysis, behavioral analytics και συνεχή εκπαίδευση προσωπικού ενάντια στις μεθόδους κοινωνικής μηχανικής.
Πηγή: www.infosecurity-magazine.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz