Interlock: ransomware evolui, torna-se plataforma autônoma e amplia sua lista de vítimas

O ransomware Interlock chegou a um estágio de maturidade inédito, transformando-se em uma plataforma completa de ciberataques capaz de operar do acesso inicial à exfiltração de dados sem depender de serviços externos. Empresas de cibersegurança identificam que o agente, detectado pela primeira vez em outubro de 2024, diversificou seus alvos, ampliou a infraestrutura de comando e controle e passou a representar ameaça direta a organizações de saúde, órgãos governamentais e indústrias de manufatura.

Origem e descoberta inicial

A primeira evidência pública do Interlock surgiu em outubro de 2024, quando amostras do código malicioso foram submetidas a um serviço de verificação de arquivos. Naquele momento, pesquisadores observaram um ransomware tradicional, especializado em criptografar dados e exigir pagamento para liberação das chaves. A autoria permanecia obscura e, segundo análises subsequentes, o malware parecia explorar backdoors pré-existentes para se estabelecer nos sistemas das vítimas.

Evolução até o estágio de maturidade

Relatórios técnicos indicam que o Interlock evoluiu rapidamente ao longo dos meses seguintes. A consultoria de segurança Forescout documenta que, em fevereiro de 2025, o código atingiu um ponto de maturidade que alterou o modo de operação do grupo responsável. A partir desse momento, o ransomware passou a funcionar como uma plataforma oferecida a parceiros, permitindo que diferentes atores conduzissem ataques em nome do Interlock com mínima dependência de ferramentas de terceiros.

Essa transformação implica que o ciclo completo de ataque — obtenção de acesso inicial, movimentação lateral, criptografia de arquivos e exfiltração de informações sensíveis — pode ser executado pelo próprio pacote de software. O resultado é uma cadeia de invasão mais ágil, menos sujeita a falhas de integração e, consequentemente, mais difícil de ser interrompida por equipes de resposta a incidentes.

Ampliação de sistemas operacionais atingidos

Nos estágios iniciais, o Interlock restringia-se a máquinas com sistema operacional Windows. A versão atual expande o escopo para servidores Linux, distribuições BSD e ambientes virtuais VMware ESXi. Essa flexibilidade amplia significativamente a superfície de ataque, pois abrange datacenters heterogêneos e infraestruturas críticas que dependem de múltiplas plataformas para operar.

Com suporte a diferentes sistemas, o agente malicioso pode comprometer desde estações de trabalho de usuários até hipervisores que hospedam dezenas de máquinas virtuais. A possibilidade de interromper serviços essenciais de forma simultânea eleva o potencial de impacto e aumenta a pressão pelo pagamento do resgate.

Estratégia de comando e controle

Um elemento que reforça a robustez do Interlock é o uso de servidores de comando e controle (C2) hospedados em provedores legítimos, como Cloudflare e Azure. Ao aproveitar infraestruturas amplamente utilizadas para entrega de conteúdo e serviços em nuvem, os operadores mascaram o tráfego malicioso entre conexões legítimas, dificultando a filtragem por firewalls e sistemas de detecção.

A adoção desse modelo não apenas garante alta disponibilidade dos servidores C2, como também complica a tarefa de bloqueio de endereços IP, pois a interrupção de ranges inteiros poderia afetar serviços corporativos legítimos que utilizam a mesma rede de distribuição.

Setores e geografias afetados

Até o momento, vítimas confirmadas localizam-se nos Estados Unidos e na Itália. Os ataques envolveram instituições de ensino, empresas do sistema financeiro, órgãos governamentais e organizações de saúde. A Forescout acrescenta que indústrias de manufatura também passaram a integrar o rol de alvos preferenciais desde a última atualização do malware.

Não há evidência de uma política de seleção rígida por parte dos criminosos. A ausência de critério definido sinaliza risco ampliado para entidades de qualquer vertical, desde que apresentem vulnerabilidades exploráveis ou backdoors ativos em seus ambientes.

Alerta das agências de cibersegurança

Após a constatação do novo patamar técnico do Interlock, a Agência de Cibersegurança e Segurança de Infraestruturas dos Estados Unidos (CISA) emitiu um alerta destacando o potencial destrutivo do ransomware. A agência enfatiza a combinação entre capacidade de expansão para múltiplos sistemas, automação de todo o ciclo de ataque e uso de infraestruturas de nuvem para comando e controle como fatores que elevam o nível de ameaça.

O comunicado reforça também a necessidade de monitoramento constante de logs de acesso, verificação de configurações de rede e aplicação imediata de correções de segurança. Embora o Interlock tenha iniciado operações conhecidas há menos de um ano, a velocidade de evolução indica um esforço contínuo de desenvolvimento por parte do grupo ou de sua comunidade de parceiros.

Método operacional do ransomware

O fluxo de ataque do Interlock segue a mecânica clássica de ransomware, mas com aprimoramentos em cada etapa. Primeiro, o malware obtém presença inicial, supostamente por meio de backdoors já existentes nos dispositivos comprometidos. Em seguida, realiza reconhecimento interno, catalogando sistemas críticos, compartilhamentos de rede e backups acessíveis.

Com o mapeamento concluído, o agente parte para a criptografia de dados, processo em que os arquivos são embaralhados por algoritmos que somente os criminosos podem reverter mediante pagamento. Paralelamente, o Interlock promove a exfiltração de documentos sensíveis, adicionando a pressão de divulgação pública caso o resgate não seja quitado.

Recomendações de mitigação

Diante da versatilidade do Interlock, especialistas sugerem reforço de camadas de defesa. Entre as medidas recomendadas estão a atualização contínua de sistemas operacionais, a segmentação de redes para limitar movimentação lateral e a adoção de backups isolados, desconectados de ambientes de produção. Monitoramento de tráfego para detecção de conexões suspeitas às infraestruturas de Cloudflare ou Azure associadas ao ransomware também é apontado como prática essencial.

Organizações que operam em setores críticos, como saúde e governo, devem conduzir auditorias regulares para localizar backdoors ou softwares desatualizados que possam servir de vetor de entrada. Planos de resposta a incidentes precisam contemplar não apenas a restauração de dados, mas procedimentos de comunicação e gestão de crise diante de possíveis vazamentos.

Perspectivas de curto prazo

Analistas consideram provável que o número de vítimas aumente ao longo dos próximos meses. A maturidade da plataforma, combinada à oferta para grupos afiliados, reduz barreiras de entrada para novos atores e multiplica tentativas de extorsão. A amplitude de sistemas operacionais suportados implica que praticamente qualquer infraestrutura heterogênea se enquadra no escopo técnico do Interlock.

Sem um padrão fixo na escolha de alvos, o cenário atual exige que empresas de todos os segmentos avaliem seus controles de segurança. A ausência de política clara por parte do grupo torna imprevisível a seleção da próxima vítima, reforçando que a prevenção segue sendo o método mais eficiente contra esse tipo de ameaça.

Conclusões a partir dos fatos conhecidos

Desde sua descoberta em 2024, o Interlock evoluiu de um ransomware convencional para uma plataforma autônoma capaz de viabilizar ataques sofisticados. Esse avanço inclui suporte a múltiplos sistemas operacionais, uso estratégico de nuvem para comando e controle e expansão do modelo de negócios para parceiros. Diante do alerta oficial de agências de segurança e do histórico recente de incidentes, a adoção de práticas robustas de defesa torna-se imperativa para qualquer organização que deseje mitigar o risco representado por essa ameaça em constante desenvolvimento.