Protéger son organisation contre le ransomware Interlock

Analyse de l’avis de la CISA émis le 22 juillet 2025

Je reviens sur l’avis publié le 22 juillet 2025, plusieurs entités gouvernementales américaines et nord-américaines ont publié un avis de cybersécurité conjoint concernant le ransomware Interlock, visant spécifiquement les entreprises et infrastructures critiques situées en Amérique du Nord et en Europe.

Cet avis résulte d’investigations récentes menées par le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), le Department of Health and Human Services (HHS) et le Multi-State Information Sharing and Analysis Center (MS-ISAC).

Je vous propose une analyse ici de manière neutre avec les principales recommandations et constats de cet avis, afin d’éclairer les responsables de la cybersécurité sur les mesures immédiates et concrètes à mettre en œuvre pour se prémunir contre la menace Interlock.

Le contexte : une menace persistante ciblant les infrastructures critiques

Interlock fait partie des familles de ransomwares les plus actives observées en 2025. L’avis met en évidence des éléments collectés par le FBI, notamment des indicateurs de compromission (IOCs), ainsi que des tactiques, techniques et procédures (TTP) typiques utilisées par les opérateurs d’Interlock. Cette publication s’inscrit dans la continuité de la série d’avis #StopRansomware, qui vise à informer régulièrement les défenseurs réseau sur les variantes de ransomwares connues.

Les secteurs ciblés incluent tout particulièrement les organisations de santé, les services publics, les entreprises de services essentiels, mais également les PME technologiques disposant de systèmes exposés ou mal segmentés.

Les vecteurs d’intrusion : ingénierie sociale et vulnérabilités connues

Selon les analyses partagées dans l’avis, l’accès initial est généralement obtenu via deux méthodes principales :

Phishing ciblé (spear-phishing) par courriel, usant de prétextes crédibles pour inciter les victimes à ouvrir une pièce jointe ou à cliquer sur un lien malveillant.
Exploitation de vulnérabilités connues non corrigées dans des systèmes ou logiciels exposés (VPN, services web, etc.).

L’adversaire utilise ensuite des outils standardisés ou publics pour le déplacement latéral (par exemple PsExec, RDP, SMB), puis déploie le chiffreur Interlock à travers le réseau une fois les privilèges escaladés.

Quelques recommandations de protection immédiate

1. Blocage de l’accès initial

Je vous recommande la mise en œuvre systématique de :

Applications de filtres DNS pour bloquer les résolutions vers des domaines malveillants connus ou récemment créés.
Mettre vos pare-feux web filtrant sur les contenus sortants et interdisant les communications suspectes vers l’extérieur.
Avoir des campagnes de sensibilisation régulières pour entraîner les utilisateurs à reconnaître les tentatives de phishing et autres manipulations sociales.

2. Avoir une correction proactive des vulnérabilités

Vos organisations doivent maintenir à jour l’ensemble des systèmes d’exploitation, firmwares, logiciels tiers et composants réseau exposés, y compris les services de VPN ou de télémaintenance. La politique de patch management doit être pilotée en lien direct avec le SOC et alignée sur les bulletins de sécurité hebdomadaires.

3. Le cloisonnement réseau et appliquer la limitation des déplacements latéraux

Les segments réseau doivent être définis en fonction des usages et niveaux de sensibilité des systèmes. Il est essentiel que l’accès entre segments soit strictement contrôlé, voire interdit par défaut. L’usage de VLAN isolés pour les systèmes critiques ou les environnements industriels (OT) est fortement recommandé.

4. La gestion des identités et la MFA généralisé

L’ensemble des comptes utilisateurs et administrateurs doit être géré par une politique centralisée d’identification forte. Il convient également de :

Supprimer les comptes inactifs ou génériques.
Activer l’authentification multifactorielle (MFA) sur tous les services critiques (VPN, messagerie, accès à distance).
Implémenter une gestion des droits basée sur les rôles (RBAC) pour éviter les élévations de privilèges non justifiées.

Enjeux spécifiques pour les secteurs critiques

Dans le domaine de la santé, une interruption de service provoquée par un ransomware comme Interlock peut avoir des conséquences directes sur les soins aux patients. De nombreux établissements utilisent encore des systèmes obsolètes ou non isolés, facilitant la propagation de logiciels malveillants. La même logique s’applique aux opérateurs de réseaux d’énergie, aux systèmes de transport et aux services d’eau et d’assainissement.

Vers une défense collective : rôle des centres de partage d’informations

L’avis encourage fortement les entités victimes ou ciblées à partager les informations techniques (IOCs, horodatages, artefacts) avec leurs centres sectoriels ou régionaux (ISAC/ISAO, CERT nationaux) et avec la CISA via le portail report@cisa.gov.

Cette transparence opérationnelle permet de détecter plus tôt les campagnes en cours et de produire des contre-mesures mutualisées.

Si je devais conclure

Interlock illustre une nouvelle fois la dynamique évolutive des campagnes de ransomware. Bien qu’il ne s’agisse pas d’un ransomware de rupture technologique, la combinaison d’outils accessibles, de techniques d’ingénierie sociale bien construites et d’une mauvaise hygiène numérique suffit à compromettre une organisation entière.

Les recommandations contenues dans l’avis conjoint sont simples, efficaces, et peuvent être mises en œuvre dès aujourd’hui sans investissement lourd. C’est dans la répétition rigoureuse des gestes de défense et le partage d’information que réside la meilleure réponse collective.

Merci à la CISA pour le partage et comme dirait un podcasteur

« On ne réfléchit pas, on patch ! ™ »

Enjoy !

CTI & OSINT