Geng Ransomware Interlock menggunakan Trojan Remote Access (RAT) yang sebelumnya tidak berdokumen bernama Nodesnake melawan Institut Pendidikan untuk akses persisten ke jaringan perusahaan.
Peneliti Quorumcyber melaporkan melihat penyebaran Nodesnake dalam setidaknya dua kasus yang menargetkan universitas di Inggris pada bulan Januari dan Maret 2025.
Dua sampel malware secara signifikan berbeda, menunjukkan pengembangan aktif untuk menambahkan fitur dan kemampuan baru di nodesnake.
Seperti yang pertama kali dilaporkan oleh BleepingComputer, Interlock adalah grup ransomware diluncurkan pada bulan September 2024. Itu sebelumnya menargetkan Texas Tech University, Davita perusahaan dialisis ginjal, dan Kesehatan Kettering Jaringan Medis di Ohio.
Kelompok ancaman juga terlihat memanfaatkan Serangan ‘ClickFix’ itu menyamar sebagai alat TI untuk mencapai infeksi awal dan infiltrasi jaringan.
Malware tikus nodesnake baru
Serangan terbaru Interlock terhadap institusi pendidikan dimulai dengan email phishing yang membawa tautan jahat atau lampiran yang menyebabkan infeksi tikus nodesnake.
Malware JavaScript, yang dieksekusi dengan nodeJs, membuat kegigihan pada infeksi dengan menggunakan skrip PowerShell atau CMD untuk menulis entri registri yang menipu bernama ‘Chromeupdater’ untuk menyamar sebagai pembaruan Google Chrome.
Untuk penghindaran, malware berjalan sebagai proses latar belakang yang terpisah, nama file dan muatan ditugaskan nama acak, dan alamat perintah-dan-kontrol (C2) dihubungkan dengan penundaan acak.
Selain itu, malware ini memiliki kebingungan kode berat, enkripsi XOR dengan kunci bergulir dan biji acak, dan melakukan gangguan konsol untuk mengganggu output debug normal.
Meskipun alamat IP C2 hardcoded, koneksi dialihkan melalui domain cloudflare-proxied untuk kebingungan.
Setelah aktif pada mesin yang terinfeksi, ia mengumpulkan metadata kunci tentang pengguna, proses menjalankan proses, layanan, dan konfigurasi jaringan dan mengeksfiltrasi ke C2.
Sumber: Quorumcyber
Malware dapat membunuh proses aktif atau memuat muatan tambahan EXE, DLL, atau JavaScript pada perangkat.
Varian nodesnake yang lebih baru juga dapat menjalankan perintah CMD dan menggunakan modul tambahan untuk mengubah perilaku pemungutan suara C2 secara dinamis. Hasil perintah dibundel dalam paket data yang dieksfiltrasi, memungkinkan interaksi shell real-time.
Sumber: Quorumcyber
Keberadaan nodesnake dan perkembangannya yang berkelanjutan merupakan indikasi evolusi interlock yang berkelanjutan dan fokus pada kegigihan diam-diam jangka panjang.
Daftar lengkap indikator kompromi untuk ancaman ini tersedia di bagian bawah Laporan Quorumcyber.
Pemantauan untuk ini dapat membantu memblokir serangan ransomware sejak awal sebelum interlock melanjutkan ke fase exfiltrasi dan enkripsi data.
