El FBI y la CISA advierten sobre el ransomware Interlock que ataca infraestructuras críticas

La Oficina Federal de Investigaciones (FBI), junto con la Agencia de Seguridad Cibernética y de Infraestructura (CISA), el Departamento de Salud y Servicios Humanos (HHS) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), ha emitido una advertencia sobre el aumento de la actividad del grupo de ransomware Interlock .

Esta amenaza con motivaciones financieras se dirige a una amplia gama de organizaciones, incluidas empresas e infraestructuras críticas vitales en América del Norte y Europa, y emplea un peligroso modelo de doble extorsión para maximizar la presión sobre las víctimas.

El ransomware Interlock se detectó por primera vez a finales de septiembre de 2024, y las investigaciones del FBI, incluso en junio de 2025, detallan sus tácticas en desarrollo . El grupo desarrolla cifradores para sistemas operativos Windows y Linux, con especial atención al cifrado de máquinas virtuales (VM). Informes de código abierto también sugieren similitudes entre Interlock y la variante del ransomware Rhysida .

Este grupo destaca por sus técnicas de acceso inicial, que difieren de las de muchos grupos de ransomware. Un método observado consiste en descargas automáticas desde sitios web legítimos pero comprometidos, donde el software malicioso se disfraza de actualizaciones falsas para navegadores web populares como Google Chrome o Microsoft Edge, o incluso herramientas de seguridad comunes como FortiClient o Cisco Secure Client.

Además, utilizan un truco de ingeniería social llamado ClickFix, donde los usuarios son engañados para que ejecuten archivos dañinos haciendo clic en CAPTCHAs falsos que les indican que peguen y ejecuten comandos maliciosos en la ventana de ejecución de su sistema.

Una vez dentro de la red, el ransomware implementa shells web y herramientas como Cobalt Strike para establecer el control, moverse entre sistemas y robar información confidencial. Recopilan datos de inicio de sesión, como nombres de usuario y contraseñas, e incluso utilizan keyloggers para registrar las pulsaciones de teclas.

Según el aviso (PDF), tras robar datos, Interlock cifra los sistemas, añadiendo archivos con las extensiones .interlock o .1nt3rlock . Exigen un rescate sin especificar una cantidad inicial en la nota, instruyendo a las víctimas a contactarlos a través de un sitio web especial .onion a través del navegador Tor . El grupo amenaza con filtrar los datos extraídos si no se paga el rescate, generalmente pagado en Bitcoin, una amenaza que han cumplido constantemente.

Para contrarrestar la amenaza del Interlock, las agencias federales instan a las organizaciones a implementar medidas de seguridad inmediatas. Las defensas clave incluyen:

• Prevenir el acceso inicial mediante el uso de filtros DNS y firewalls de acceso web, y capacitar a los empleados para detectar intentos de ingeniería social.

• Aplicación de parches y actualizaciones para garantizar que todos los sistemas operativos, software y firmware estén actualizados, priorizando las vulnerabilidades conocidas.

• Implementación de autenticación fuerte, como autenticación multifactor (MFA) para todos los servicios cuando sea posible, junto con políticas de gestión de acceso e identidad más sólidas.

• Control de red mediante la segmentación de redes para limitar hasta dónde se puede propagar el ransomware.

• Copia de seguridad y recuperación mediante el mantenimiento de múltiples copias de seguridad fuera de línea e inmutables (inalterables) de todos los datos críticos.

Además, hay recursos gratuitos disponibles a través de la iniciativa en curso #StopRansomware .