La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), el FBI, el Departamento de Salud y Servicios Humanos, y el Centro de Análisis de Información y Información de Información de Múltiples en el estado han emitido una advertencia de asesoramiento conjunta urgente de ataques intensos por parte del grupo de ransomware entrelazado, que ha estado apuntando a las empresas y a los sectores críticos de infraestructura desde finales de septiembre de 2024.
La variante de enclavamiento recientemente emergente representa una amenaza particularmente sofisticada, que emplea métodos de ataque no convencionales que la distinguen de las operaciones típicas de ransomware.
A diferencia de muchos grupos cibercriminales, los actores entrelazados obtienen acceso inicial a través de descargas de manejo de sitios web legítimos comprometidos, una técnica poco común en el panorama de ransomware que hace que la detección sea más desafiante.
“Los actores entrelazados son oportunistas y motivados financieramente, dirigidos a las víctimas basadas en la oportunidad en lugar del enfoque específico de la industria”, según el aviso de CISA liberado hoy.
El grupo se ha infiltrado con éxito en organizaciones en América del Norte y Europa, lo que demuestra su amplio alcance operativo y adaptabilidad.
La doble extorsión amplifica la amenaza
Central a la estrategia de Interlock es el uso de tácticas de doble extorsión, donde los atacantes encriptan los datos de las víctimas y el exfiltrado información confilable.
Este enfoque dual aumenta significativamente la presión sobre las organizaciones para pagar los rescates, ya que las víctimas enfrentan no solo la interrupción operativa sino también la amenaza de la exposición a los datos públicos a través del sitio de fuga web oscura del grupo.
Se ha observado que el ransomware se dirige a los sistemas operativos de Windows y Linux, con un enfoque particular en cifrar máquinas virtuales en ambas plataformas. Esta capacidad multiplataforma hace que el enclavamiento sea especialmente peligroso para las organizaciones que ejecutan entornos de TI híbridos.
Quizás lo más preocupante sea la adopción de Interlock de la técnica de ingeniería social de ClickFix, donde las víctimas son engañadas para ejecutar cargas útiles maliciosas haciendo clic en las indicaciones falsas de Captcha que parecen resolver problemas del sistema.
Este método se ha asociado previamente con otras campañas de malware, pero representa una nueva evolución en los métodos de entrega de ransomware.
“Las víctimas reciben un código único y se les indica que se comunique con el grupo de ransomware a través de una URL .donión a través del navegador TOR”, afirma el asesor.
A diferencia de muchos grupos de ransomware, el enclavamiento no incluye demandas iniciales de rescate en sus notas; En cambio, establece canales de comunicación directa para las negociaciones.
Herramientas apalancadas por actores de ransomware de enclavamiento
Herramienta de la herramienta CandedScriptionAnyDeska Remote Monitoring and Management (RMM) utilizada por los actores de amenaza para acceso remoto y persistencia. También facilita transferencias de archivos remotos. Herramienta de prueba de penetración de Cobalt Strikea diseñada para profesionales de seguridad, que ha sido cooperado por los actores. Powershella Automatización de tareas multiplataforma y el marco de administración de configuración utilizado para secuestrar actividades maliciosas en Windows, Linux y MacOS.psexECA Tool para ejecutar programas y comandos en Sistemas de archivos remotos para el sistema remoto para el sistema remoto para el sistema remoto. Transferir protocolos como SFTP y SCP.ScreenconNectremote Soporte y software de acceso. Los actores de enclavamiento se han observado utilizando una versión agrietada de esta herramienta. SystemBCA Tool que permite a los actores comprometer sistemas, ejecutar comandos, descargar las cargas útiles y actuar como un proxy para comando y control (c2) servers.windows console hosthe conhost.exe administra la interfaz de usuario para las aplicaciones de comandos y se ha utilizado en estos ataques. FTP, WebDav y otros protocolos.
Infraestructura crítica en riesgo
La orientación de los sectores de infraestructura crítica plantea preocupaciones particulares sobre posibles interrupciones en el servicio. Los investigadores federales señalan que si bien los ataques actuales se han centrado principalmente en cifrar máquinas virtuales, existe la posibilidad de expansión de los servidores físicos y las estaciones de trabajo en futuras campañas.
Para contrarrestar estas amenazas, CISA recomienda que las organizaciones implementen capacidades de detección y respuesta de punto final robusto (EDR), particularmente para entornos de máquinas virtuales. Las medidas de protección adicionales incluyen filtrado DNS, firewalls de acceso web, segmentación de red y capacitación integral de usuarios sobre reconocimiento de ingeniería social.
Las investigaciones del FBI, que continúan tan recientemente como junio de 2025, han revelado similitudes entre el enclavamiento y la variante de ransomware Rhysida anteriormente conocida, lo que sugiere posibles conexiones o recursos técnicos compartidos entre los grupos.
La articulación el aviso representa Parte de la iniciativa en curso #StoPransomware, que proporciona a los defensores de la red indicadores técnicos detallados y estrategias de mitigación para proteger contra esta amenaza emergente.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
