Afiq Sam - stock.adobe.com

Actualites

Ransomware : les liens techniques entre Rhysida et Interlock

Les chercheurs d'IBM X-Force se sont penchés sur l'écosystème Interlock/Rhysida, détaillant les vecteurs d'infection, les portes dérobées partagées et les techniques d'obfuscation avancées.

Valéry Rieß-Marchive
par
Publié le: 19 juin 2026

L'émergence d'un bloc opérationnel entre Interlock et Rhysida marque une mutation structurelle dans l'économie des ransomwares. Plutôt que des entités isolées, les données suggèrent une transition vers des infrastructures distribuées et partagées. Cette convergence tactique permet une résilience accrue face aux mesures de démantèlement : si une infrastructure est neutralisée, les autres membres du bloc conservent leur capacité opérationnelle.

L'enseigne Interlock est suivie depuis l'automne 2024 ; on lui connaît actuellement une centaine de victimes. Avec 273 victimes, Rhysida apparaît plus active. Sa première victime publiquement connue était la collectivité territoriale de Martinique, au printemps 2023. 

L'analyse technique réalisée par les chercheurs d'IBM X-Force fait ressortir l'utilisation de l'infrastructure TDS de TAG-1214, un point nodal pour la distribution de charges utiles. Cette infrastructure supporte activement les familles de malwares Supper et NodeSnake. L'utilisation de ces familles spécifiques, combinée à l'infrastructure partagée, suggère une standardisation des outils de déploiement et une optimisation des coûts de maintenance pour les opérateurs de rançongiciel.

Analyse des TTP : signatures d'une collaboration étroite

Les similitudes dans les procédures opérationnelles (TTP) et les binaires de chiffrement pointent vers une collaboration étroite, voire une affiliation directe. Les binaires de chiffrement présentent des signatures structurelles quasi identiques, suggérant une source commune de code ou un partage de bibliothèques cryptographiques. Ces procédures standardisées facilitent l'intégration rapide de nouveaux opérateurs au sein du bloc opérationnel.

Pour les RSSI et les architectes sécurité SI, ces alliances imposent un changement de paradigme : la surveillance ne peut plus se limiter à l'identification de groupes isolés. La détection doit désormais se concentrer sur les points de convergence — infrastructures communes et signatures de binaires partagés. Une surveillance corrélée, capable d'identifier ces liens transversaux, est essentielle pour anticiper les mouvements du bloc et neutraliser les infrastructures critiques avant leur exploitation.

Pour approfondir sur Menaces, Ransomwares, DDoS