Interlockランサムウェアが密かに進化、ClickFixも試用

Interlockランサムウェアが密かに進化、ClickFixも試用

Sekoia TDR – April 16 2025

2024年9月に初めて観測されたランサムウェアグループ「Interlock」について、Sekoia Threat Detection & Research（TDR）チームが報告。被害組織の数は少なく、ランサムウェアシーンでもそれほど目立つ存在ではないものの、今年2月から新たにClickFix戦術を試験的に採用し始めたり、PowerShellバックドアの改良を重ねるなど、Interlockは密かに進化を続けているという。

Interlockランサムウェアとは？

Interlockは大物を狙って攻撃を仕掛けてファイルの暗号化と窃取を行い、盗んだデータをリークすると脅して身代金を要求する二重恐喝キャンペーンを実施するランサムウェアグループ。そのデータリークサイトは「Worldwide Secrets Blog」と名付けられている。アフィリエイトの募集広告やアフィリエイトに関するその他の情報は2025年3月の時点で見つかっていないことから、RaaSグループには分類されていない。

リークサイトへの被害組織の掲載は継続して行われているものの、その数は比較的少なく、活動が始まった2024年9月以降で合計24組（うち6組は2025年に掲載）。RansomHubやAkira、Lynx、Qilinといったほかのランサムウェアグループが2025年第1四半期だけで100組以上の被害組織を掲載していることを踏まえると、Interlockの数字はかなり少ない。ただ、Interlockは自らのツールや手法を絶えず改良しており、革新への意欲が見受けられることからSekoiaのTDRチームは同グループに注目してきたのだという。

ClickFixの利用

多段階の攻撃チェーン

Interlockの基本的な攻撃チェーンは複数の段階から成り、まずGoogle ChromeやMS Edgeなどのブラウザインストーラーに扮した偽のブラウザアップデートを配布。侵害された正規のWebサイトを通じてターゲットがこの偽アップデーターを実行すると、第1段階のPowerShellバックドアがインストールされ、このバックドアを通じて追加のツールがいくつか実行される他、最終的にはランサムウェアペイロードの配布に繋がる。

ClickFixの試用

TDRは2025年1月9日、Interlockとの関連が明らかになっていた偽のインストーラーペイロードが、ClickFixのキルチェーンを通じて配布されているのを観測したという。ClickFixとは、偽のシステムプロンプトやCAPTCHA認証を提示し、ユーザー自身に悪意あるコマンドを実行させるよう仕向けるソーシャルエンジニアリング戦術。観測されたケースでは、CloudflareのCAPTCHAを装う偽ページによって、PowerShellコマンドのコピーと実行が指示されていた。このClickFixページは4つの異なるURL上で見つかっており、うち1つは前述のPowerShellバックドアに繋がる偽インストーラーを配布するもので、ほか3つは難読化されたローダーを通じて同バックドアを実行するものだったとされる。

ただ、このClickFixインフラを注視し続けているTDRによれば、2025年2月以降このインフラは使われていないものとみられるという。このため、Interlockがこの手法を予想していたほど効果的ではないとみなし、使用を取りやめた可能性が示唆されているとのこと。

進化を続ける脅威

ClickFixを採用しようとする試みのほか、TDRはInterlockの注目ポイントとして、LummaStealerやBerserk Stealerなど認証情報を窃取できるスティーラーマルウェアをキーロガーと併せて使用している点や、PowerShelバックドアをバージョン11まで進化させている点、C2インフラにテイクダウン防止のための工夫が凝らされている点などを紹介。さらなる進化やキャンペーンが激化する可能性を予想できるよう、その活動を引き続き注視すると述べた。同チームのブログ記事では、さらなる詳細やIoCが共有されている。