Mengenal Interlock, Ransomware Baru yang Menyerang Infrastruktur

Dunia keamanan siber kembali dihadapkan pada kemunculan aktor ancaman baru yang semakin aktif melakukan serangan ransomware. Salah satu kelompok yang mulai menarik perhatian para peneliti keamanan adalah Interlock, sebuah grup peretas yang dalam waktu singkat berhasil menempatkan dirinya sebagai ancaman serius bagi berbagai sektor penting. Meski tergolong pemain baru, aktivitas kelompok ini menunjukkan pola serangan yang terorganisasi dan terus berkembang.

Para pakar keamanan menyebut Interlock sebagai operator ransomware oportunistik yang menargetkan organisasi dengan celah keamanan yang dapat dimanfaatkan. Serangan mereka tidak hanya berfokus pada pencurian data, tetapi juga pada strategi tekanan yang memaksa korban membayar uang tebusan dalam jumlah besar.

Kemunculan Interlock di Lanskap Keamanan Siber

Kelompok ransomware Interlock, yang juga dikenal dengan nama Nefarious Mantis, pertama kali terdeteksi pada September 2024. Dalam kurun waktu kurang dari satu tahun, aktivitas mereka meningkat tajam dan menarik perhatian lembaga keamanan siber internasional.

Organisasi seperti Cybersecurity and Infrastructure Security Agency (CISA) dan Federal Bureau of Investigation (FBI) bahkan mengeluarkan peringatan mengenai meningkatnya aktivitas kelompok ini pada pertengahan tahun 2025.

Interlock diketahui menargetkan berbagai sektor penting, terutama di kawasan Amerika Utara dan Eropa. Beberapa sektor yang paling sering menjadi target antara lain:

• sektor pendidikan
• layanan kesehatan
• perusahaan teknologi
• lembaga pemerintahan
• infrastruktur publik

Motivasi utama kelompok ini adalah keuntungan finansial. Mereka cenderung memilih target yang memiliki potensi pembayaran tebusan besar, terutama organisasi yang memiliki data sensitif atau layanan publik yang tidak boleh berhenti beroperasi.

Menariknya, Interlock tidak menggunakan model Ransomware-as-a-Service (RaaS) yang umum digunakan oleh banyak kelompok ransomware modern. Model RaaS biasanya melibatkan jaringan afiliasi yang menyewakan ransomware kepada pelaku lain. Namun Interlock diduga beroperasi sebagai kelompok tertutup dengan struktur internal yang lebih terkontrol.

Cara Interlock Memulai Serangan

Salah satu hal yang membuat Interlock cukup unik adalah metode awal infeksi yang mereka gunakan. Secara historis, kelompok ini sering memperoleh akses awal ke sistem korban melalui teknik drive-by download yang berasal dari situs web sah tetapi telah diretas.

Metode ini relatif jarang digunakan oleh kelompok ransomware lain, karena biasanya ransomware memanfaatkan email phishing atau eksploitasi celah keamanan secara langsung.

Namun pada Mei 2025, Interlock memperluas teknik serangan mereka dengan menambahkan metode rekayasa sosial bernama ClickFix. Teknik ini memanfaatkan kelengahan pengguna untuk menjalankan perintah berbahaya secara manual di komputer mereka sendiri.

Setelah berhasil masuk ke sistem, payload ransomware Interlock biasanya dijalankan pada mesin virtual (virtual machine). Strategi ini membuat komputer host, workstation pengguna, atau server fisik terkadang tidak langsung terkena dampak, sehingga serangan bisa berlangsung lebih tersembunyi.

Sejumlah laporan keamanan juga menemukan adanya kemiripan antara Interlock dan ransomware Rhysida. Hal ini memunculkan dugaan bahwa Interlock mungkin merupakan kelompok pecahan dari Rhysida, meskipun belum ada bukti yang benar-benar memastikan hubungan tersebut.

Serangan Interlock yang Mulai Meningkat

Pada 22 Juli 2025, CISA dan FBI mengeluarkan peringatan bersama bahwa Interlock telah meningkatkan kemampuan malware mereka. Peningkatan ini membuat ransomware tersebut lebih sulit dideteksi oleh sistem keamanan tradisional.

Peneliti keamanan menemukan bahwa ransomware Interlock kini memiliki varian yang dapat berjalan pada dua sistem operasi populer, yaitu:

• Windows
• Linux

Kedua varian tersebut mampu mengenkripsi mesin virtual di kedua sistem operasi tersebut, sehingga memperluas potensi kerusakan yang dapat ditimbulkan.

Hingga saat ini, setidaknya terdapat lebih dari 50 korban yang dipublikasikan pada situs kebocoran data milik Interlock. Situs tersebut digunakan sebagai alat tekanan agar korban bersedia membayar uang tebusan.

1. Serangan Besar terhadap DaVita
Salah satu serangan paling besar yang dikaitkan dengan Interlock terjadi pada April 2025 terhadap perusahaan layanan dialisis ginjal DaVita.

Dalam insiden tersebut, kelompok peretas berhasil mencuri sekitar 1,5 terabyte data sensitif. Data yang bocor dilaporkan berdampak pada lebih dari 200.000 pasien yang menggunakan layanan perusahaan tersebut.

Serangan ini menjadi contoh nyata bagaimana ransomware tidak hanya mengganggu operasional organisasi, tetapi juga dapat membahayakan privasi dan keamanan data pasien.

2. Serangan terhadap Kota St. Paul
Interlock juga dikaitkan dengan serangan ransomware terhadap kota Saint Paul pada Juli 2025. Serangan ini menyebabkan beberapa sistem penting milik pemerintah kota menjadi tidak dapat digunakan.

Selain itu, data pribadi sekitar 3.500 pegawai kota dilaporkan berpotensi bocor.

Menariknya, perusahaan intelijen ancaman siber PRODAFT sebenarnya telah mendeteksi aktivitas mencurigakan di jaringan kota tersebut sekitar sepuluh hari sebelum serangan terjadi. Mereka bahkan memberikan peringatan melalui platform X bahwa aktivitas tersebut berpotensi berkembang menjadi serangan siber besar.

Pemerintah kota kemudian mengonfirmasi bahwa Interlock berada di balik serangan tersebut, namun menegaskan bahwa mereka tidak membayar uang tebusan kepada pelaku.

Bagaimana Serangan Ransomware Biasanya Terjadi

Menurut Dan Schiappa, Presiden Teknologi dan Layanan dari perusahaan keamanan siber Arctic Wolf, serangan ransomware umumnya melalui beberapa tahapan yang terencana dengan baik.

Proses tersebut biasanya meliputi:

• Reconnaissance: pelaku melakukan pengintaian terhadap sistem target.
• Identifikasi data berharga: mencari informasi yang memiliki nilai tinggi.
• Pencarian celah keamanan: mengeksploitasi kelemahan sistem.
• Pengumpulan informasi sistem: memahami struktur jaringan korban.
• Peluncuran serangan ransomware: mengenkripsi data dan meminta tebusan.

Kelompok ransomware sering menargetkan infrastruktur penting karena potensi keuntungan finansial yang lebih besar.

Teknik Serangan Interlock

Untuk memperoleh akses awal ke sistem korban, Interlock memanfaatkan kombinasi teknik modern, seperti:

• infeksi yang dipicu oleh tindakan pengguna
• teknik Living-off-the-Land (LOTL)

Teknik LOTL memanfaatkan alat yang sudah tersedia di sistem operasi sehingga aktivitas berbahaya tampak seperti aktivitas normal.

Beberapa variasi teknik yang digunakan oleh kelompok ini antara lain:

• ClickFix
• FileFix

Kedua teknik tersebut bertujuan untuk menyamarkan aktivitas malware agar tidak terdeteksi oleh sistem keamanan jaringan.

Mengapa Teknik Ini Sangat Efektif

Salah satu alasan utama keberhasilan teknik ini adalah karena malware disebarkan melalui situs web yang terlihat terpercaya. Pengguna yang mengunjungi situs tersebut cenderung percaya pada instruksi yang muncul.

Akibatnya, banyak korban tanpa sadar mengikuti langkah-langkah instalasi yang sebenarnya berisi perintah berbahaya.

Interlock juga sering menggunakan pembaruan perangkat lunak palsu yang terlihat seperti update resmi untuk browser populer seperti Google Chrome dan Microsoft Edge.

Ketika korban menjalankan installer palsu tersebut, installer asli browser akan dijalankan sebagai umpan, sementara skrip PowerShell berbahaya berjalan diam-diam di latar belakang.

Peran Backdoor PowerShell

Skrip PowerShell yang dijalankan berfungsi sebagai backdoor tahap awal. Program ini secara diam-diam menghubungi server Command-and-Control (C2) milik penyerang.

Backdoor tersebut kemudian:

• mengumpulkan informasi sistem
• mengirimkan data ke server penyerang
• membuka akses untuk pemasangan malware tambahan

Skrip ini juga menggunakan berbagai teknik penyamaran kode atau obfuscation untuk menghindari deteksi.

Beberapa alat tambahan yang diketahui digunakan oleh Interlock antara lain:

• Cobalt Strike
• Interlock RAT
• NodeSnake RAT
• SystemBC

Penyalahgunaan Infrastruktur Cloud

Salah satu teknik yang cukup canggih dalam operasi Interlock adalah penggunaan layanan Cloudflare, khususnya fitur TryCloudflare Tunnel. Layanan ini biasanya digunakan oleh developer untuk membuat koneksi sementara saat menguji situs web. Namun dalam kasus Interlock, layanan tersebut dimanfaatkan untuk menyembunyikan komunikasi antara malware dan server penyerang.

Subdomain yang digunakan bersifat dinamis dan sementara, sehingga terlihat seperti layanan normal dan lebih sulit untuk dilacak atau diblokir oleh sistem keamanan.

Tren ini menunjukkan bahwa pelaku kejahatan siber kini semakin sering memanfaatkan layanan terpercaya untuk menyamarkan aktivitas mereka.

Ancaman yang Terus Berkembang

Penelitian terbaru juga menunjukkan bahwa Interlock telah mengembangkan Remote Access Trojan (RAT) berbasis PowerShell yang mampu berjalan tanpa jendela program yang terlihat oleh pengguna.

Malware ini dapat:

• mengumpulkan informasi sistem secara detail
• menjalankan perintah jarak jauh
• mengunduh payload tambahan
• memperluas kendali penyerang atas sistem korban

Kemampuan tersebut membuat serangan Interlock semakin sulit dideteksi jika organisasi tidak memiliki sistem keamanan yang memadai.

Upaya Perlindungan dari Ancaman Interlock

Untuk menghadapi ancaman ini, perusahaan keamanan siber seperti Arctic Wolf terus memperbarui sistem deteksi mereka.

Melalui tim Arctic Wolf Labs, perusahaan tersebut memanfaatkan intelijen ancaman terbaru untuk meningkatkan kemampuan platform keamanan mereka dalam mendeteksi aktivitas Interlock.

Dengan pendekatan ini, sistem keamanan dapat:

• mengidentifikasi Indicators of Compromise (IOC)
• mendeteksi teknik serangan terbaru
• menghentikan aktivitas malware lebih cepat

Para peneliti keamanan juga terus memantau perkembangan taktik dan teknik yang digunakan oleh Interlock, sehingga sistem pertahanan dapat diperbarui secara berkala.

Munculnya Interlock menunjukkan bahwa lanskap ancaman siber terus berkembang dengan cepat. Kelompok peretas baru dapat muncul kapan saja dengan metode serangan yang semakin canggih.

Bagi organisasi dan perusahaan, meningkatkan keamanan siber bukan lagi pilihan, melainkan kebutuhan mendesak untuk melindungi data, sistem, dan kepercayaan pengguna.