Ce que révèle l’alerte des agences US face à interlock

Le ransomware Interlock constitue une menace croissante pour les secteurs critiques

Il y a un nouveau acteur du ransomware et il évolue rapidement : Interlock. Il est apparu en septembre 2024 et, en quelques mois seulement, ce groupe est passé d’attaques aléatoires à une concentration sur les cibles les plus importantes, les systèmes de santé, les infrastructures critiques et les opérations d’entreprise en Amérique du Nord et en Europe. Le groupe ne se préoccupe pas des marques ou des secteurs, mais d’une manière ou d’une autre, c’est le secteur de la santé qui est le plus durement touché.

Ce qui rend cette situation dangereuse, c’est l’environnement. Le secteur de la santé fonctionne déjà au ralenti, avec des marges serrées, des effectifs restreints et des volumes importants. Une attaque par ransomware dans ce secteur ne se limite pas à des temps d’arrêt ou à des violations de données, elle affecte directement la vie des patients, les soins cliniques et la confiance opérationnelle. Les agences fédérales américaines, le FBI, CISA, HHS et MS-ISAC, traitent ce problème comme une menace claire et croissante. Toute personne travaillant dans un secteur lié à la sécurité publique ou à des opérations continues devrait s’en préoccuper.

Si vous faites partie de la direction d’une entreprise, en particulier dans les secteurs où les données sont précieuses ou où les demandes de services sont constantes, il s’agit d’un signal. Interlock a des capacités qui dépassent la norme, son rythme, son opportunisme et les personnes qu’il vise indiquent qu’il s’agit d’un groupe qui comprend la vulnérabilité institutionnelle. Cela signifie que les plans d’intervention en cas d’incident doivent évoluer rapidement et que la résilience doit être construite à partir de l’architecture du système jusqu’à la politique de l’exécutif.

Selon l’alerte émise dans le cadre de l’initiative fédérale #StopRansomware, Interlock intensifie ses attaques depuis septembre 2024. Il ne ralentit pas, et franchement, il n’en a pas besoin. La plupart des organisations sont encore en retard sur l’hygiène de base en matière de cybersécurité, ce qui en fait des cibles faciles.

Interlock utilise une stratégie de double extorsion combinée à des techniques d’infiltration non traditionnelles.

Le modèle d’Interlock est simple mais dangereux. Ils pénètrent dans votre réseau, chiffrent vos systèmes, volent vos données sensibles, puis font pression sur vous pour que vous payiez. Mais ils ont modifié leur stratégie : pas de demande de rançon directe à l’avance. Au lieu de cela, les victimes reçoivent un code unique et des instructions pour passer par un site caché sur le réseau Tor afin d’entamer les négociations. C’est un changement. Il ajoute des couches d’obscurcissement et rend la réponse plus complexe dans les premières phases d’une attaque.

Ce qui frappe le plus, c’est la façon dont ils s’introduisent dans le système. Leur stratégie principale ne consiste pas à utiliser des courriers électroniques non sollicités ou des attaques par force brute. Au lieu de cela, ils compromettent des sites web fiables, mais vulnérables. Lorsque les utilisateurs arrivent sur ces pages, ils sont invités à installer ce qui ressemble à des mises à jour du navigateur pour Chrome ou Edge. En réalité, il s’agit de logiciels malveillants. Ils sont subtils, convaincants et contournent de nombreuses défenses standard.

Interlock s’appuie également sur l’ingénierie sociale. Leurs outils de prédilection sont « ClickFix » et « FileFix », des outils convaincants qui se présentent comme des invites de correction du système. Ils exploitent l’instinct de l’utilisateur pour résoudre rapidement les problèmes, même s’il ne comprend pas entièrement l’invite. En exploitant les fonctions natives de Windows, ces outils déploient des logiciels malveillants sans déclencher d’alerte immédiate.

Pour les dirigeants, la conclusion est simple : La surface de menace n’est pas toujours bruyante ou évidente. Interlock fonctionne en se fondant dans la masse, en restant discret et en utilisant des voies de confiance. Vous ne verrez pas toujours des lumières rouges clignotantes en cas de violation. C’est ainsi qu’ils opèrent, et c’est pourquoi les équipes de sécurité ont besoin de l’autorité et des ressources nécessaires pour déployer la détection de nouvelle génération, et pas seulement les anciens pare-feux.

L’avis indique clairement qu’Interlock utilise un modèle de double extorsion hébergé dans des environnements cachés sur le réseau Tor. Leurs premiers vecteurs d’infiltration, de fausses mises à jour de navigateur sur des sites web détournés, ne sont pas typiques, mais ils fonctionnent. C’est ce qui devrait vous mettre la puce à l’oreille.

Logiciels malveillants avancés et techniques de vol d’informations d’identification

Interlock ne se contente pas d’entrer par effraction et de détruire. Une fois qu’ils sont entrés, ils maintiennent un contrôle constant, élargissent l’accès et volent des données sensibles avec précision. Leur boîte à outils comprend des chevaux de Troie d’accès à distance conçus pour persister, en particulier Interlock RAT et NodeSnake RAT. Il ne s’agit pas d’outils prêts à l’emploi, ils sont conçus pour rester furtifs et ne pas être détectés par les protections courantes des points d’extrémité et des réseaux.

Leur prochaine étape est le vol d’informations d’identification. Et ils sont doués pour cela. Ils utilisent des scripts PowerShell pour déployer des logiciels malveillants tels que cht.exe et klg.dll. Ceux-ci sont utilisés pour enregistrer les frappes au clavier, s’emparer des noms d’utilisateur et des mots de passe, et observer silencieusement l’activité du système. Avec ces informations d’identification, ils escaladent les privilèges et se déplacent latéralement dans les réseaux. La méthode Kerberoasting, qui consiste à extraire de la mémoire les hachages des informations d’identification des services, est l’une de leurs techniques préférées pour compromettre l’ensemble du domaine.

Pour les cadres qui supervisent l’infrastructure ou la conformité, ce niveau d’accès équivaut à un risque structurel. Si votre organisation ne dispose pas d’une segmentation interne, d’une détection des anomalies en temps réel ou d’une surveillance agressive des informations d’identification, vous n’êtes pas seulement exposé, vous jouez un rôle de rattrapage après que le réseau a été compromis. Et à ce moment-là, le mal est déjà fait.

Les agences fédérales, dont le FBI, énumèrent spécifiquement ces outils et méthodes dans l’avis commun. Il ne s’agit pas de techniques isolées, mais d’un cadre d’attaque ciblé et évolutif qui imite la sophistication d’un État. La plupart des entreprises ne sont pas préparées à répondre rapidement à ce type de menace. C’est le moment de réévaluer si votre approche de la cybersécurité est proactive ou réactive. La différence est importante.

Interlock exploite des outils cloud légitimes et emploie des variantes uniques de logiciels malveillants.

Interlock ne se concentre pas uniquement sur les points d’entrée évidents. Ils ciblent également votre cloud et utilisent les outils que votre équipe informatique utilise probablement tous les jours. Ils ont été observés en train de déployer Azure Storage Explorer et AzCopy, deux utilitaires Microsoft, pour voler des fichiers dans des environnements cloud. Ces outils ne sont pas signalés par les défenseurs standard parce qu’ils sont légitimes. C’est justement là le problème : ils se cachent dans le bruit.

Les systèmes Linux sur site ne sont pas non plus hors de leur portée. Ils utilisent un rare paquet de chiffrement basé sur FreeBSD pour verrouiller les environnements Linux. Ce n’est pas courant. La plupart des équipes de ransomware donnent la priorité aux charges utiles basées sur VMware et ciblant les hôtes de virtualisation, mais Interlock dépasse ces limites. L’entreprise a clairement fait savoir qu’elle n’était pas limitée par la plate-forme. Sa capacité à frapper les plateformes Windows, Linux et cloud en fait une menace inter-environnements.

Les dirigeants responsables des plateformes technologiques, en particulier des déploiements hybrides et multi-cloud, doivent internaliser ce changement. Les outils de productivité essentiels et la polyvalence des plateformes exigent désormais des modèles de sécurité tout aussi dynamiques. Vous ne pouvez pas verrouiller l’accès au cloud tout en ignorant les systèmes sur site, ou vous concentrer sur Windows et laisser Linux exposé. La sécurité doit s’aligner sur l’ensemble de l’environnement d’exploitation, y compris sur la manière dont les outils de confiance sont utilisés.

L’alerte conjointe confirme explicitement qu’Interlock utilise Azure Storage Explorer et AzCopy pour exfiltrer des données basées sur le Cloud et a déployé un chiffreur Linux influencé par FreeBSD. Cette capacité d’attaque multiplateforme est le signe d’une expansion de la méthodologie de la menace. Si vous évaluez actuellement vos investissements en matière de cybersécurité, c’est le moment de vous assurer que vous ne vous défendez pas contre les tactiques d’hier. Ce n’est pas le cas d’Interlock.

Les agences américaines recommandent des mesures défensives globales pour atténuer le risque.

La réponse du gouvernement fédéral américain à Interlock est claire : la prévention n’est pas facultative. Des agences telles que le FBI, la CISA, le HHS et le MS-ISAC invitent les organisations ciblées à mettre en œuvre une stratégie de défense complète. Cela inclut le déni d’accès au niveau du DNS, le filtrage du trafic des applications web, le renforcement des points d’extrémité par des correctifs réguliers et l’application de l’authentification multifactorielle pour tous les comptes d’utilisateurs.

Il ne s’agit pas d’un simple nettoyage technique, mais d’une gestion de base des risques. L’isolation des réseaux lorsque cela est possible ralentit les mouvements latéraux non autorisés. La formation du personnel à la détection de l’ingénierie sociale donne aux pare-feu humains la conscience dont ils ont besoin pour arrêter la compromission à un stade précoce. Enfin, il est essentiel de disposer de sauvegardes hors ligne et immuables. Si un ransomware frappe, la récupération ne peut pas dépendre de systèmes déjà infectés.

Les dirigeants qui supervisent la technologie, la conformité ou la résilience opérationnelle doivent intégrer ces principes dans les budgets et les cycles de gouvernance. Si la cybersécurité reste une fonction réactive, basée sur les coûts, l’entreprise n’est pas préparée à des attaques soutenues telles qu’Interlock. Ce groupe de ransomware ne se contente pas de casser des choses, il démantèle la confiance opérationnelle. Cela a un impact sur la confiance des actionnaires, la réputation du marché et la viabilité à long terme.

Ces recommandations sont directement issues d’un avis fédéral actif publié dans le cadre de l’initiative #StopRansomware. Il ne s’agit pas d’idées théoriques, mais de tactiques basées sur des comportements observés. Interlock utilise des outils déjà intégrés dans les réseaux, contourne les défenses existantes et exploite les utilisateurs par le biais d’invites qui paraissent crédibles. La seule réponse fonctionnelle est la sécurité à plusieurs niveaux.

C’est à ce moment-là que les organisations décident de renforcer leur résilience de manière proactive ou de reconstruire après une faille. La première solution est plus rapide, moins coûteuse et nettement plus conforme à la continuité opérationnelle. Il n’y a plus d’ambiguïté, la cybersécurité est un impératif commercial, pas une dépense technique.

Principaux faits marquants

Interlock cible activement le secteur de la santé et les secteurs critiques : Les responsables du secteur de la santé et des industries à fort impact doivent considérer qu’ils sont des cibles prioritaires pour Interlock, un ransomware en pleine expansion qui exploite les vulnérabilités des opérations et des infrastructures.
Ses tactiques de double extorsion et d’entrée exigent une nouvelle approche défensive : Interlock contourne les défenses traditionnelles en utilisant de fausses mises à jour de navigateur et l’ingénierie sociale pour obtenir l’accès et extraire des données sensibles avant le cryptage. Les entreprises doivent réévaluer les stratégies de prévention qui s’appuient sur des signaux de menace visibles.
Le vol d’informations d’identification et les mouvements latéraux amplifient l’impact : Le groupe utilise des RAT personnalisés et des logiciels malveillants de vol d’informations d’identification pour renforcer le contrôle du système après l’intrusion. Les dirigeants devraient investir dans la surveillance en temps réel des terminaux et l’analyse de l’activité des informations d’identification pour contenir la propagation interne.
Ils exploitent des outils cloud et des systèmes linux : Interlock utilise à mauvais escient des utilitaires informatiques courants et cible les environnements Linux avec des charges utiles avancées, ce qui montre la nécessité d’une couverture de sécurité dans les environnements hybrides. Assurez-vous que les actifs cloud et Linux sont défendus aussi activement que les systèmes Windows.
Les agences fédérales conseillent de mettre en place des défenses proactives à plusieurs niveaux : Le filtrage DNS, le MFA, la formation des employés, la segmentation du réseau et les sauvegardes hors ligne sont tous considérés comme essentiels. Les décideurs doivent considérer ces mesures comme fondamentales et veiller à ce que leur mise en œuvre soit vérifiée et appliquée.

Alexander Procter

août 13, 2025

11 Min

Tendances sectorielles
Ce que révèle l’alerte des agences US face à interlock
Août 13, 2025
11 min
Tendances sectorielles
L’Europe veut encadrer l’IA mais les fournisseurs peinent à suivre
Août 13, 2025
18 min
Stratégies et transformation
Ce que les meilleurs font mieux avec leurs données
Août 13, 2025
19 min

Ce que révèle l’alerte des agences US face à interlock

Le ransomware Interlock constitue une menace croissante pour les secteurs critiques

Interlock utilise une stratégie de double extorsion combinée à des techniques d’infiltration non traditionnelles.

Logiciels malveillants avancés et techniques de vol d’informations d’identification

Interlock exploite des outils cloud légitimes et emploie des variantes uniques de logiciels malveillants.

Les agences américaines recommandent des mesures défensives globales pour atténuer le risque.

Principaux faits marquants

Ce que révèle l’alerte des agences US face à interlock

L’Europe veut encadrer l’IA mais les fournisseurs peinent à suivre

Ce que les meilleurs font mieux avec leurs données

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !