La Amenaza del Interlock Ransomware: Cómo los Hijos de ClickFix Atacan con Herramientas Falsas de TI
La creciente sofisticación de los grupos de ransomware ha llevado a desarrollos preocupantes en el ámbito de la ciberseguridad. Un claro ejemplo de esto es el grupo del ransomware Interlock, que ha adoptado una táctica insidiosa conocida como ClickFix para infiltrarse en redes corporativas. Este método involucra la suplantación de herramientas de TI legítimas, engañando a los usuarios para que ejecuten comandos de PowerShell maliciosos. A lo largo de este artículo, exploraremos cómo el Interlock ransomware gang pushes fake IT tools in ClickFix attacks y qué medidas puedes tomar para protegerte de estos peligros.
¿Qué es el Interlock Ransomware?
El Interlock ransomware es una operación criminal que se lanzó a finales de septiembre de 2024. Su principal objetivo son servidores FreeBSD y sistemas Windows, y aunque no se opera bajo un modelo de ransomware como servicio, su enfoque es igualmente amenazante. Este grupo mantiene un portal de filtración de datos en la dark web, el cual utiliza para ejercer presión sobre sus víctimas, exigiendo pagos que oscilan entre centenares de miles de dólares hasta millones.
¿Cómo Funciona el ClickFix?
El ClickFix es una táctica de ingeniería social diseñada para confundir a las víctimas. En esencia, les promete "solucionar" errores técnicos mediante la ejecución de comandos en sus propios sistemas, lo que resulta en la instalación de, en muchos casos, malware. El Interlock ha llevado esto a un nuevo nivel, utilizando URLs que imitan portales legítimos para atraer a usuarios desprevenidos.
Estrategias Utilizadas por el Interlock
Antes de adoptar el método ClickFix, el Interlock utilizaba actualizaciones falsas de navegadores y clientes de VPN para instalar malware. Este cambio hacia el ClickFix se observó por primera vez en enero de 2025, cuando se comenzaron a utilizar URLs engañosas que solicitaban a los usuarios ejecutar comandos en sus computadoras.
Un ejemplo de estas tácticas incluye el uso de páginas web falsificadas que imitan portales como Microsoft y herramientas de escaneo de IP. Los atacantes han conseguido engañar a usuarios haciéndose pasar por:
- microsoft-msteams[.]com/additional-check.html
- microstteams[.]com/additional-check.html
- ecologilives[.]com/additional-check.html
- advanceipscaner[.]com/additional-check.html
En particular, el dominio que imita a Advanced IP Scanner fue el que llevó a la descarga de un instalador malicioso. Al hacer clic en el botón “Fix it”, se copia un comando de PowerShell malicioso al portapapeles de la víctima.
El Proceso de Instalación
Una vez que el usuario ejecuta este comando, se descarga un payload de 36MB que oculta la presencia de un script de PowerShell embebido. Este script no solo regista un "Run key" en el Registro de Windows para garantizar la persistencia, sino que también exfiltra información acerca del sistema, como la versión del SO, nivel de privilegios de usuario y otros detalles críticos.
Impacto del Interlock Ransomware
Después de que se lleva a cabo la instalación del malware, los operadores del Interlock utilizan credenciales robadas para moverse lateralmente dentro de la red mediante RDP. Además, emplean herramientas como PuTTY, AnyDesk, y LogMeIn en algunos ataques. El objetivo final es ejecutar el ransomware, que se lanza mediante una tarea programada.
La Exfiltración de Datos
Una parte esencial de la estrategia del Interlock incluye la exfiltración de datos. Los archivos robados se suben a Azure Blobs controlados por los atacantes. Así, el ransomware no solo cifra archivos vitales, sino que también asegura que los atacantes tengan acceso a información confidencial que puede ser utilizada para extorsionar a la empresa afectada.
Evolución del Ransomware y Sus Demandas
El grupo de ransomware Interlock ha evolucionado en sus tácticas, incluso modificando su nota de rescate. Las versiones más recientes han comenzado a centrarse en las implicaciones legales y las posibles consecuencias regulatorias si se hace público el robo de datos. Esto añade una capa adicional de presión sobre las víctimas, obligándolas a considerar el costo total de un ataque, no solo en términos de dinero, sino también de reputación y cumplimiento normativo.
Otras Organizaciones Afectadas
El ClickFix no es exclusivo del Interlock. La táctica ha sido adoptada por una variedad de actores maliciosos, incluidos otros grupos de ransomware y hackers norcoreanos. Recientemente, la famosa agrupación Lazarus apuntó a solicitantes de empleo dentro de la industria de criptomonedas utilizando métodos similares, lo que demuestra que la amenaza es amplia y creciente.
Prevención y Medidas de Seguridad
La ciberseguridad es más importante que nunca ante la expansión de tácticas como las del Interlock ransomware gang. Es crucial que las organizaciones implementen capas de protección y estén alertas ante posibles intentos de phishing. Algunas recomendaciones incluyen:
- Educar a los Empleados: Enseñar a identificar correos electrónicos y páginas web sospechosas.
- Mantener Software Actualizado: Asegurarse de que todos los sistemas operativos y aplicaciones estén siempre actualizados con los últimos parches.
- Implementar Autenticación de Múltiples Factores: Agregar una capa adicional de seguridad puede prevenir accesos no autorizados.
- Seguridad en la Nube: Considerar el uso de servicios de seguridad en la nube que ofrezcan protección contra ransomware y otros tipos de malware.
Además, por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas. Este antivirus puede ayudar a mitigar riesgos y proteger tus sistemas contra nuevas variedades de malware.
Resumiendo las Amenazas del Interlock Ransomware
El Interlock ransomware y su uso de ClickFix como una táctica para engañar a las víctimas subraya la necesidad imperiosa de estar siempre alerta y bien informado. La evolución de estas amenazas refuerza el hecho de que la educación, la preparación y la prevención son tus mejores aliados contra los ataques cibernéticos.
A medida que el panorama de la ciberseguridad continúa desarrollándose, es vital que tanto individuos como organizaciones se mantengan proactivos. Implementar medidas de seguridad adecuadas y estar al tanto de las últimas tácticas utilizadas por los atacantes es esencial para proteger la información crítica y mantener la integridad de las redes. La clave está en la vigilancia constante y en adaptar las defensas a medida que las amenazas evolucionan.