Interlock Ransomware implementeert nieuwe NodeSnake RAT bij Britse aanvallen

Cybersecuritybedrijf Quorum Cyber ​​heeft twee nieuwe versies van kwaadaardige software ontdekt, bekend als NodeSnake. Deze ontdekking wijst op een mogelijke verschuiving van doelwitten voor de Interlock-ransomwaregroep, die vermoedelijk achter deze aanvallen zit.

Het Threat Intelligence-team van Quorum Cyber ​​heeft NodeSnake in de gaten gehouden en vermoedt sterk dat het verbonden is met Interlock-ransomware . Deze verbinding is gebaseerd op de gedeelde online infrastructuur die door de aanvallers wordt gebruikt.

Het team ontdekte vergelijkbare kwaadaardige code die binnen twee maanden werd gebruikt bij aanvallen op twee universiteiten in het Verenigd Koninkrijk. Waarschijnlijk plaatsten dezelfde aanvallers beide NodeSnake RAT's bij deze universiteiten. Bovendien behoren de twee NodeSnake-varianten tot dezelfde familie, waarbij de nieuwere variant aanzienlijke verbeteringen liet zien.

Volgens onderzoek van Quorum Cyber, gedeeld met Hackread.com, is NodeSnake een type Remote Access Trojan (RAT). RAT's zijn gevaarlijk omdat ze aanvallers in staat stellen om op afstand de controle over geïnfecteerde computers over te nemen. Dit betekent dat aanvallers toegang kunnen krijgen tot bestanden, kunnen zien wat gebruikers doen, computerinstellingen kunnen wijzigen en zelfs belangrijke informatie op afstand kunnen stelen of verwijderen, terwijl de RAT's verborgen in het systeem blijven en zelfs andere schadelijke programma's kunnen installeren.

Interlock-ransomware, voor het eerst waargenomen in september 2024, richtte zich doorgaans op grote of waardevolle organisaties in Noord-Amerika en Europa. Deze groep staat bekend om dubbele afpersing , waarbij ze gegevens versleutelen en dreigen deze vrij te geven tenzij er losgeld wordt betaald.

In tegenstelling tot veel andere ransomwaregroepen functioneert Interlock niet als een dienst voor anderen en heeft het geen bekende partners. Het kan zowel Linux- als Windows-computersystemen aanvallen, waardoor het een breed scala aan doelwitten heeft.

Recente activiteiten suggereren echter dat Interlock zich nu ook richt op lokale overheidsinstanties en instellingen voor hoger onderwijs. In april 2025 meldde Hackread.com dat Interlock maar liefst 20 terabyte (TB) aan gevoelige patiëntgegevens had gestolen van DaVita Healthcare , een grote zorgaanbieder gespecialiseerd in nierdialyse.

Deze verschuiving in doelwitten is zorgwekkend. Zoals Paul Caiazzo, Chief Threat Officer bij Quorum Cyber, uitlegde: "We hebben dit jaar gezien dat cybercriminelen zich steeds vaker op universiteiten richten om waardevolle intellectuele eigendommen, waaronder onderzoeksgegevens, te stelen en mogelijk nieuwe tactieken, technieken en procedures te testen en te verfijnen voordat ze deze mogelijk in andere sectoren toepassen."

Caiazzo voegde eraan toe dat de diefstal van onderzoeksgegevens wijst op een spionagegerelateerd motief. Quorum Cyber ​​blijft Interlock en NodeSnake monitoren om organisaties te helpen hun belangrijke informatie te beschermen. Het bedrijf biedt een gedetailleerde technische analyse en aanbevelingen om de impact van de malware te verminderen in zijn NodeSnake-rapport, dat hier beschikbaar is.