Interlock Ransomware использует новый NodeSnake RAT для атак в Великобритании

Компания по кибербезопасности Quorum Cyber ​​обнаружила две новые версии вредоносного ПО, известного как NodeSnake. Это открытие подчеркивает возможное изменение целей для группы Interlock ransomware, которая, как полагают, стоит за этими атаками.

Команда Threat Intelligence компании Quorum Cyber ​​отслеживает NodeSnake и твердо уверена, что он связан с Interlock ransomware . Эта связь основана на общей онлайн-инфраструктуре, используемой злоумышленниками.

Команда заметила похожий вредоносный код, использовавшийся в атаках на два университета в Соединенном Королевстве в течение двух месяцев. Вероятно, те же злоумышленники разместили оба NodeSnake RAT в этих университетах. Более того, оба варианта NodeSnake принадлежат к одному семейству, причем более новый демонстрирует значительные улучшения.

Согласно исследованию Quorum Cyber, с которым поделился Hackread.com, NodeSnake — это тип трояна удаленного доступа (RAT). RAT опасны, поскольку позволяют злоумышленникам получать контроль над зараженными компьютерами издалека. Это означает, что злоумышленники могут получать доступ к файлам, следить за действиями пользователей, изменять настройки компьютера и даже удаленно красть или удалять важную информацию, в то время как RAT остаются скрытыми в системе и даже внедряют другие вредоносные программы.

Interlock ransomware, впервые обнаруженный в сентябре 2024 года, обычно фокусируется на крупных или ценных организациях в Северной Америке и Европе. Эта группа известна тактикой двойного вымогательства , когда они шифруют данные и угрожают опубликовать их, если не будет заплачен выкуп.

В отличие от многих других групп вирусов-вымогателей, Interlock не работает как сервис для других и не имеет известных партнеров. Он может атаковать как компьютерные системы Linux, так и Windows, что дает ему широкий спектр целей.

Однако недавняя активность свидетельствует о том, что Interlock теперь также нацелен на местные органы власти и высшие учебные заведения. В апреле 2025 года Hackread.com сообщил, что Interlock украл ошеломляющие 20 терабайт (ТБ) конфиденциальных данных пациентов у DaVita Healthcare , крупного поставщика медицинских услуг, специализирующегося на лечении почечным диализом.

Такое изменение целей вызывает беспокойство. Как объяснил Пол Кайаццо, главный специалист по угрозам в Quorum Cyber, «мы заметили, что в этом году злоумышленники все чаще нацеливаются на университеты, чтобы выкрасть ценную интеллектуальную собственность, включая исследовательские данные, и, возможно, протестировать и отточить новые тактики, методы и процедуры перед потенциальным применением их в других секторах».

Кайаццо добавил, что кража исследовательских данных указывает на мотивацию, связанную со шпионажем. Quorum Cyber ​​продолжает следить за Interlock и NodeSnake, чтобы помочь организациям защитить свою важную информацию. Компания предлагает подробный технический анализ и рекомендации по снижению воздействия вредоносного ПО в своем отчете NodeSnake, доступном здесь .