Advisory

Waspada Ancaman Interlock Ransomware pada Virtual Machine

July 23, 2025

 

Deskripsi

1

 

     
 

Cybersecurity and Infrastructure Security Agency (CISA) & Federal Bureau of Investigation (FBI) baru saja mengeluarkan peringatan resmi dan advisory mengenai ancaman yang berkembang dari ransomware bernama InterlockPertama kali muncul pada akhir September 2024, ransomware ini menargetkan Virtual Machine (VM) berbasis Windows & Linux berbagai organisasi. Sejak kemunculannya, Interlock ransomware terus berupaya untuk melakukan perkembangan toolset yang digunakan (ex. LummaStealer & BerserkStealer) dan juga teknik terkini (ex. ClickFix Social Engineering). Diperkirakan telah terdapat 50 korban hingga saat ini, dengan jumlah tertinggi berada di bulan Juni 2025 sebanyak 13 korban. Interlock juga memiliki Data Leak Site (DLS) yang bernama “Worldwide Secrets Blog” sebagai media pengungkapan kebocoran data dan negosiasi harga tebusan.

  
     

 

Metode Serangan

2

 

     
 
  1. Initial Access & Exploitation:
    a) Website legitimate yang compromise (drive-by download).
    b) ClickFix Social Engineering.
    c) File update patch palsu dari browser Chrome/Edge dan berbagai software keamanan.
  2. Tactics, Techniques, & Procedures (TTPs):
    a) Active Scanning - Vulnerability Scanning (T1595.002)
    b) Exploit Public-Facing Application (T1190, ICS T0819)
    c) Exploitation of Remote Service (T1210, ICS T0866)
    d) Supply Chain Compromise (T1195, ICS T0862)
    e) External Remote Services (T1133, ICS T0822)
  
     

 

Indicator of Compromise (IoC)

3

 

     
 
  1. Tools:
    a) PowerShell untuk persistensi & pengumpulan informasi
    b) Remote Access Trojan (RAT): Cobalt Strike, NodeSnake, Interlock RAT
    c) Stealer: Lumma, Berserk, cht.exe, klg.dll
    d) Lateral Movement: RDP, AnyDesk, PuTTY
    e) Escalation: Kemungkinan via Kerberoasting
  2. Informasi mengenai detail IoC lainnya dapat dilihat lebih detail pada referensi poin 6.
  
     

 

Mitigasi

4

 

     
 
  1. Aktifkan EDR,  network monitoring,  dan terapkan pemblokiran terhadap IP/URL yang teridentifikasi sebagai IoC (referensi poin 6).
  2. Penerapan MFA sebagai Control Mandatory.
  3. Terapkan prinsip Normally Closed pada manajemen port dan akses VM, serta lakukan whitelisting hanya untuk sumber yang diperbolehkan (Authorized sources).
  4. Pastikan port yang perlu dibuka hanya dapat diakses oleh pengguna yang telah terautentikasi dan memiliki izin akses.
  5. Simpan backup offline terenkripsi & immutable.
  
     

 

 

 

Referensi:

1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a
2. https://www.cisa.gov/news-events/alerts/2025/07/22/joint-advisory-issued-protecting-against-interlock-ransomware
3. https://blog.sekoia.io/interlock-ransomware-evolving-under-the-radar/
4. https://www.fortinet.com/blog/threat-research/ransomware-roundup-interlock
5. https://blog.talosintelligence.com/emerging-interlock-ransomware/
5. https://csirt.telkom.co.id/iocinterlock.txt

 

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts