Threat Intelligence

Interlock

Interlock kombiniert gefälschte Software-Updates und „ClickFix“-Tricks mit echten Zero-Days – und trifft vor allem Gesundheitswesen und kritische Infrastruktur.

Kurz erklärt

Interlock ist eine seit Ende 2024 aktive Gruppe, die per Drive-by-Downloads, gefälschten Browser-/Security-Updates und „ClickFix“/„FileFix“-Social-Engineering einsteigt und Daten stiehlt sowie verschlüsselt. Es besteht eine vermutete Verbindung zu Rhysida; CISA/FBI haben ein eigenes Advisory veröffentlicht.

Aktiv

Modell

Geschlossene Datenerpressung (RaaS-artig)

Auch bekannt als

Interlock; Leak-Site „Worldwide Secrets Blog“; Malware Interlock RAT / NodeSnake RAT

Gegründet

September 2024

Entstanden aus

Vermutlich aus dem Rhysida-Umfeld (geteilte „Supper“-Backdoor)

Herkunft

Unbekannt; finanziell motiviert

Zielsektoren

Gesundheitswesen, Bildung, Fertigung, Business-Services, Behörden, Technologie, Verteidigung

Zielregionen

Nordamerika (Schwerpunkt), Europa; DACH: Samples aus Deutschland

Typisches Lösegeld

unbekannt (60-stellige Opfer-ID, Tor-Verhandlung)

Opferzahl

~112 Opfer (Juni 2026)

File Extensions

.interlock, .1nt3rlock

Ransom Note

!__README__!.txt (teils via GPO verteilt)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • Helpdesk/Endnutzer für ClickFix/Fake-Update-Masche sensibilisieren; verdächtige PowerShell-Ausführung isolieren; Cisco-FMC patchen.
  • Backups sofort prüfen und offline sichern.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie für Entschlüsselung oder Nicht-Veröffentlichung; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Fake-Update-/CAPTCHA-Aufforderungen (ClickFix) nicht ausführen – nie einen „Update“-Dialog per Ausführen-/Run-Befehl bestätigen.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Keine dubiosen „Entschlüsselungs-Tools“ aus dem Netz einsetzen.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • DaVita (US-Dialyse, 2025, ~2,7 Mio. Betroffene)
  • Kettering Health (Ohio, 2025, ~1,7 Mio. Betroffene)
  • Cisco-Firewall-Zero-Day CVE-2026-20131 (ab Jan. 2026)

Angriffstechniken (TTPs)

  • Initial Access: Drive-by von kompromittierten Websites, gefälschte Browser-/Security-Updates (FortiClient, Cisco AnyConnect), ClickFix (Fake-CAPTCHA → PowerShell), FileFix; gekaufte Zugänge.
    • CVE-2026-20131 (Cisco Secure Firewall FMC, unauth. RCE)
    • MITRE: T1189, T1204.004, T1059.001, T1486, T1567.002
  • Werkzeuge: Interlock/NodeSnake RAT, Lumma/Berserk Stealer, Cobalt Strike, SystemBC, Supper-Backdoor, AzCopy.

Technologie & Malware

Plattformen: Windows und Linux.

Verschlüsselung: LibTomCrypt; Windows AES-CBC (CISA: AES + RSA), Linux CBC/RSA; gepackte Executables mit eigenem Unpacker.

Besonderheit: neuartige Social-Engineering-Auslieferung (ClickFix/FileFix) plus echte Zero-Day-Fähigkeit.

Indicators of Compromise (IOCs)

  • Endungen: .interlock / .1nt3rlock
  • Ransom Note: !__README__!.txt; 60-stellige Opfer-ID
  • Tools/IOCs: klg.dll (Keylogger), TryCloudflare-C2, Leak „Worldwide Secrets Blog“
  • Ausgenutzte CVE: CVE-2026-20131 (Cisco FMC)

Was Unternehmen jetzt prüfen sollten

  • Awareness gegen ClickFix/Fake-Updates (gefälschte Browser-/Security-Update-Dialoge)
  • Erkennung verdächtiger PowerShell-/LOLBin-Ausführung
  • Cisco Secure Firewall (FMC) patchen
  • Offline-Backups

Wie Argos unterstützt

Awareness gegen ClickFix/Fake-Updates, 24/7-Endpoint-Detection im Cyber Defense Center und schnelle Reaktion bei Verdacht.