descoberta e escopo
Uma investigação conduzida pela IBM X-Force revelou uma conexão profunda entre dois dos grupos de ransomware mais ativos atualmente: Interlock e Rhysida. O estudo, baseado em uma análise de dois anos, identificou que ambas as operações compartilham uma backdoor privada conhecida como Supper, também referida como SocksShell ou WINDYTWIST. Além disso, múltiplas famílias de malware utilizadas por esses grupos exibem similaridades estruturais significativas, sugerindo uma origem comum de desenvolvimento ou uma relação de transferência de código entre atores confiáveis.
O grupo Interlock, rastreado internamente como Hive0163, opera campanhas de ransomware desde setembro de 2024. Diferente de muitas operações que utilizam modelos de Ransomware-as-a-Service (RaaS), o Interlock não oferece suas ferramentas para afiliados externos, dependendo de um arsenal personalizado que inclui NodeSnake, InterlockRAT e o downloader JunkFiction. Por outro lado, o Rhysida, ativo desde maio de 2023, opera como uma plataforma RaaS.
análise técnica e similaridades de código
A análise forense de código apontou que a backdoor Supper, vista pela primeira vez em julho de 2024, antecede tanto o NodeSnake quanto o InterlockRAT. Originalmente, o Supper foi encontrado protegido pelo criptador JunkFiction, o mesmo utilizado pelo Interlock em suas próprias ferramentas. O Supper mantém acesso persistente ao sistema da vítima, cria túneis criptografados e executa comandos de shell remoto, capacidades que espelham de perto o InterlockRAT.
O que torna essa descoberta especialmente significativa é o comportamento interno dessas ferramentas. A IBM X-Force encontrou que o InterlockRAT e o Supper compartilham estruturas de comando quase idênticas, formatos semelhantes para registro com servidores de controle e o mesmo método de autoexclusão. Um DLL embutido usado por versões mais antigas do Supper para apagar-se do disco é o componente exato encontrado dentro do binário de ransomware do Interlock, acionado quando instruído a se deletar após criptografar os arquivos.
O NodeSnake, que atua como o carregador de primeira etapa na maioria das infecções do Interlock, compartilha lógica de código e endereços de servidor tanto com o downloader JunkFiction quanto com o InterlockRAT. Um backdoor mais recente baseado em Python chamado ModeloRAT, implantado pela rede de distribuição de tráfego TAG-124 vinculada ao Interlock, estende ainda mais a estrutura de código do NodeSnake e usa bytes de validação de rede idênticos. Essas sobreposições sugerem fortemente que as ferramentas foram construídas pelos mesmos desenvolvedores.
vetor de ataque e táticas de infecção
Tanto o Interlock quanto o Rhysida dependem fortemente de instaladores de software trojanizados para obter entrada nas redes das vítimas. Páginas de download falsas para ferramentas como o Microsoft Teams são projetadas para parecerem legítimas, enganando os usuários para que executem arquivos maliciosos. Esses instaladores são assinados com certificados de assinatura de código fraudulentos comprados em fóruns de cibercrime, ajudando-os a passar pelas verificações de segurança na maioria dos sistemas.
Uma vez dentro, os atacantes utilizam sistemas de distribuição de tráfego para redirecionar vítimas e entregar payloads através de ataques estilo ClickFix ou atualizações de navegador falsas. O Interlock tem sido repetidamente vinculado a um sistema conhecido como TAG-124, também rastreado como LandUpdate808. Os atores do Rhysida, operando sob o cluster Vanilla Tempest, utilizaram acesso baseado em Gootloader que transfere para o Supper antes que o ransomware seja implantado.
impacto e setores afetados
Até o final de 2025, ambos os grupos haviam reivindicado aproximadamente 80 vítimas cada, com a maioria localizada nos Estados Unidos. Os setores de saúde, educação e governo foram entre os mais atingidos. A atividade pós-comprometimento é minuciosa e metódica. Os atacantes se movem pelas redes usando ferramentas como AZcopy, Advanced Port Scanner e ladrões de credenciais antes de lançar o ransomware.
A IBM X-Force também encontrou uma política personalizada do Windows Defender Application Control (WDAC) nos servidores de staging do Interlock, construída para desativar o Defender e ferramentas de endpoint enquanto permite que o malware do grupo seja executado livremente. Isso indica um nível de sofisticação operacional que visa neutralizar as defesas nativas do Windows antes da execução do payload principal.
medidas de mitigação recomendadas
As organizações devem monitorar executáveis assinados anormalmente, observar o uso inesperado de software de gerenciamento remoto e tratar prompts de navegador estilo ClickFix como um sinal de alerta de alta prioridade. A detecção de tráfego para os servidores C2 listados nos indicadores de comprometimento (IoCs) é crucial para a resposta a incidentes.
Recomenda-se a implementação de políticas de aplicação de aplicativos (AppLocker ou WDAC) para restringir a execução de binários não assinados ou assinados por certificados não confiáveis. Além disso, a segmentação de rede e o monitoramento de tráfego lateral podem ajudar a identificar movimentos laterais característicos das táticas do Interlock e Rhysida.
perguntas frequentes
Qual a diferença entre Interlock e Rhysida?
O Interlock opera como um grupo fechado sem afiliados, enquanto o Rhysida utiliza um modelo RaaS. No entanto, compartilham infraestrutura e código.
Como identificar a infecção?
Monitorar hashes de arquivos conhecidos, domínios C2 e tráfego de rede para os IPs listados nos IoCs fornecidos no relatório.
Existe exploração ativa de CVEs?
Sim, o relatório menciona o uso de CVE-2026-20131 para acesso inicial e CVE-2023-36036 para escalonamento de privilégios locais.