Blog Blog

Perfil técnico integral — Interlock ransomware

November 19, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
Perfil técnico integral — Interlock ransomware

BLUF: Interlock es un ransomware de doble extorsión y alcance multi-plataforma, ya en fase “empresa” con afiliados. Desde fines de 2024 golpea salud, educación y gobierno usando ClickFix/FileFix y fallas de SharePoint, con riesgo creciente para LATAM en 6–12 meses.

Ventana analizada: 19/11/2024–19/11/2025 (énfasis en actividad y reporting público hasta ~17/10/2025; sin cambios estructurales publicados en los últimos 30 días).

1) Síntesis ejecutiva

  • tool_normalized: ransomware (crypto-ransomware, modelo doble extorsión).
  • Naturaleza de la amenaza:
  • Objetivos recientes y “por qué ahora”:
  • Impacto estratégico:
  • Proyección 6–12 meses:

2) Geopolítica y doctrina

  • Motivación: financiera, sin atribución estatal sólida. Múltiples fuentes apuntan a un colectivo cerrado, probablemente derivado o influenciado por Rhysida, heredando parte de su tradecraft.
  • Doctrina operativa:
  • Triggers relevantes 2024–2025:
  • Riesgo de trasvaso a LATAM:

3) Victimología accionable

  • Sectores primarios: salud, educación (K-12 y universidades), gobierno local/regional, manufactura, construcción, real estate, servicios financieros y banca regional.
  • Sectores secundarios: servicios profesionales (contables/legales), proveedores de servicios de construcción y materiales, organizaciones sin fines de lucro y ONGs.
  • Regiones y tamaño típico:
  • Exposición de terceros / supply-chain:
  • Indicadores de selección de víctimas (observables):

4) TTPs (MITRE ATT&CK v14.x)

ATT&CK_version: 14.x (alineado a mapeos CISA / CERTs 2025).

TTPs primarias

  • Acceso inicial
  • Ejecución
  • Persistencia
  • Elevación / Acceso a credenciales
  • Descubrimiento & movimiento lateral
  • Colección y exfiltración
  • Comando y control / impacto

TTPs secundarias / contingentes

  • T1036.005 – Masquerading: conhost.exe / conhost.txt, “Chrome Updater”, dlls con nombres genéricos.
  • T1218.011 – Rundll32 para ejecutar tmp41.wasd y limpieza.
  • T1070.004 – File Deletion / removeme() en Linux para reducir huella forense.

5) Infraestructura, vulnerabilidades y CVE (priorización)

  • Topología de C2 e infraestructura:
  • Vulnerabilidades clave (últimos 12 meses):
  • Prioridad de parcheo / hardening:
  • Toolchain típico observado:

6) OPSEC y evasión — Rúbrica y nivel

Evaluación: OPSEC = Medio-Alto

  • Fortalezas de OPSEC:
  • Debilidades / errores de tradecraft:

Justificación del nivel: el grupo combina buenas prácticas de evasión técnica con varios patrones repetidos y dependencia de user interaction. No llega al nivel de OPSEC de APTs state-sponsored, pero está por encima del ransomware masivo promedio.

7) Dimensión humana y predicción

  • Estructura probable:
  • Skills y husos horarios:
  • Escenario más probable (12–18 meses):
  • Escenario más peligroso:
  • Indicadores adelantados / umbrales:

8) Detección y respuesta (SOC-ready)

Data sources mínimos

  • EDR/XDR en endpoints Windows y Linux (incluyendo VMs).
  • Registros de DNS y proxy/HTTP(S) para detectar dominios anómalos, uso de AzCopy y StorageExplorer hacia destinos externos.
  • Logs de autenticación / IdP / AD (fallos y logins inusuales, cuentas de servicio, admins).
  • Registros de correo (phishing, adjuntos sospechosos relacionados con “fix”, “update”, “SharePoint error”).
  • Telemetría de hypervisor/ESXi cuando existan cargas críticas virtualizadas.
  • M365 / Azure logs: actividad de Storage, AzCopy, apps registradas, OAuth tokens.

Reglas mínimas (placeholders, no exhautivas)

Sigma – PowerShell + patrón ClickFix/FileFix

Sigma – Uso inusual de AzCopy / StorageExplorer

Sigma – Creación masiva de extensiones .interlock / .1nt3rlock

Sigma – Artefactos de robo de credenciales

Snort/IDS – tráfico C2 genérico

Playbook DFIR (alto nivel)

Aislar

Contener

Erradicar

Recuperar

Lecciones y hardening

9) Contrainteligencia y COA P1/P2/P3

  • Vulnerabilidades del adversario:

COA P1 (prioridad inmediata, bajo coste)

  • Endurecer navegación de personal IT / admins (navegación aislada, bloqueo de copia/pega de comandos desde sitios no confiables).
  • Bloquear ejecución de PowerShell no firmado y restringir -EncodedCommand en estaciones de trabajo.
  • Activar reglas de detección para AzCopy/StorageExplorer y extensiones .interlock/.1nt3rlock.

COA P2 (estructural, medio plazo)

  • Programa de parcheo acelerado para SharePoint y servicios expuestos, con especial atención a ToolShell.
  • Segmentación de redes críticas (salud, OT, educación) con controles estrictos de este-oeste.
  • Políticas de backup offline con pruebas regulares de restauración y control de exfiltración.

COA P3 (proactivo, engaño / disrupción)

  • Honeypots con SharePoint “vulnerable” y señuelos de datos sanitarios/educativos, integrados con telemetría de alta resolución.
  • Canaries en rutas que Interlock tiende a recorrer (shares sensibles, pseudo-backups, repos en la nube), para obtener visibilidad temprana de actores y afiliados.
  • Colaboración estructurada con CERTs y vendors para compartir TTP/IoC y presionar legalmente sobre actores y ecosistema de afiliados.

10) Calidad de datos y cumplimiento

  • Emergencia de Interlock en septiembre 2024, doble extorsión, multi-plataforma:
  • Uso de ClickFix/FileFix como vector clave:
  • Explotación de la cadena ToolShell en SharePoint (CVE-2025-49706, etc.):
  • Relación con Rhysida / derivación de familia:
  • Riesgo de expansión a LATAM:

Cumplimiento: no se incluyen PoC ni detalles operacionales que faciliten reutilización ofensiva, ni datos de contacto de extorsionadores, ni PII de víctimas.

11) Apéndices

11.1 IoC (sanitizado, orientado a patrones)

  • Artefactos de fichero:
  • Procesos / herramientas sospechosas (contexto-dependiente):

11.2 TTPs (lista compacta)

  • Acceso inicial: T1189, T1204.004
  • Ejecución: T1059.001
  • Persistencia: T1547.001
  • Credenciales: T1555.003, T1056.001, T1558.003, T1078/T1078.002
  • Descubrimiento: T1033, T1082, T1007, T1016
  • Movimiento lateral: T1078, T1021.001
  • Colección / exfiltración: T1530, T1567.002, T1048
  • C2: T1105, T1219
  • Impacto: T1486
  • Evasión: T1036.005, T1218.011, T1070.004

11.3 Referencias textuales.

  • CISA – “#StopRansomware: Interlock” (AA25-203A), consultado 19-11-2025.
  • CERT Ecuador – “AL-2025-036 Interlock Ransomware”, 23-07-2025.
  • Cisco Talos – “Unwrapping the emerging Interlock ransomware attack”, 07-11-2024.
  • Fortinet FortiGuard Labs – “Ransomware Roundup – Interlock”, 29-11-2024.
  • Sekoia – “Interlock ransomware evolving under the radar”, 16-04-2025.
  • Kaspersky – “How Interlock attacks IT specialists with fake CAPTCHAs and ClickFix”, 16-05-2025.
  • SOC Prime / Picus / AttackIQ – análisis AA25-203A y TTPs Interlock, julio 2025.
  • Techradar / Forescout – artículos sobre evolución y madurez operacional de Interlock, 2025.
  • WeLiveSecurity – “Tres nuevos grupos de ransomware con gran crecimiento en 2025”, 09-10-2025 (cadena ToolShell).
  • Ransomware.live – perfil del grupo Interlock (víctimas, cronología), consultado 19-11-2025.
  • Arctic Wolf, eSentire, Halcyon – perfiles del grupo Interlock y FileFix/RAT PHP, 2025.
Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog