Imagine chegar na segunda-feira, abrir o painel do seu site ou o sistema de prontuário eletrônico do hospital e encontrar tudo criptografado, com um relógio regressivo exigindo pagamento em criptomoedas. Esse é o cenário cada vez mais plausível depois da evolução do Interlock, um ransomware que, em apenas 12 meses, saiu do anonimato para se tornar pauta prioritária de analistas de cibersegurança no mundo todo.
Descoberto em outubro de 2024, o Interlock ganhou musculatura ao longo de 2025 e, segundo relatório da Forescout, atingiu a chamada “maturidade operacional” em fevereiro deste ano. De lá para cá, não só expandiu a lista de vítimas nos Estados Unidos e na Itália, como também deixou de ser exclusivo do Windows, passando a mirar Linux, BSD e até servidores VMware ESXi — a espinha dorsal de muitas nuvens privadas.
Para quem administra blogs em WordPress, gerencia campanhas no Google AdSense ou mantém infraestrutura crítica, entender a engrenagem desse ransomware é mais que curiosidade técnica; é questão de continuidade do negócio. A seguir, destrinchamos os fatos e, no final, discutimos o impacto prático dessa nova fase do Interlock.
Do surgimento à maturidade: como o Interlock cresceu em um ano
Outubro de 2024: primeiras amostras aparecem em sites de verificação de arquivos, ainda rudimentares.
Fevereiro de 2025: a Forescout detecta um salto de capacidade; o malware passa a conduzir sozinho todo o ciclo de ataque — acesso inicial, criptografia e exfiltração de dados.
Março a setembro de 2025: registros de incidentes em universidades norte-americanas, órgãos governamentais italianos e hospitais, sinalizando que o grupo por trás do Interlock não segue um perfil de vítima único.
Outubro de 2025: a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) emite alerta público, classificando o ransomware como “ameaça de alta prioridade”.
Novo arsenal técnico: de backdoors a servidores C2 na Cloudflare e Azure
Os operadores do Interlock preferem invasões silenciosas por backdoors, muitas vezes instalados meses antes do ataque final. Uma vez dentro, o código:
Imagem: Internet
- Escaneia o ambiente em busca de máquinas Windows, distros Linux, BSD e hosts ESXi.
- Encripta arquivos usando algoritmos robustos e apaga backups locais para dificultar recuperação.
- Exfiltra dados sensíveis para servidores de comando e controle (C2) hospedados na Cloudflare ou no Microsoft Azure, disfarçando o tráfego malicioso como se fosse serviço legítimo.
Essa abordagem “tudo-em-casa” reduz dependências externas e torna o rastreamento forense mais complexo, já que a infraestrutura usada é, à primeira vista, confiável.
Alvos no radar: saúde, governo, manufatura e além
Embora não exista uma linha ideológica explícita, os incidentes documentados mostram preferência por ambientes onde o tempo de inatividade custa caro — seja financeiramente, seja em vidas humanas:
- Saúde: hospitais com sistemas legados e alto senso de urgência para restaurar dados dos pacientes.
- Governo: prefeituras e secretarias que mantêm cadastros vitais da população.
- Manufatura: fábricas onde minutos de parada significam filas de produção inteira comprometidas.
- Educação e finanças: casos pontuais nos EUA, refletindo a tática de “oportunidade” do grupo.
Ao exibir publicamente as vítimas em seu site de vazamentos, o Interlock aplica pressão psicológica adicional, incentivando o pagamento rápido do resgate.
Ransomware como serviço 2.0: o que o Interlock nos ensina sobre a próxima onda de ataques
A principal lição deste novo capítulo é que estamos diante de um modelo de plataforma, não apenas de um malware sofisticado. Ao oferecer a infraestrutura completa — da invasão ao vazamento — o Interlock se posiciona como serviço terceirizado para cibercriminosos menos experientes, replicando a lógica de “software como serviço” que conhecemos no mercado legítimo.
Para empresas de qualquer porte, isso significa:
- Barreira de entrada mais baixa para atacantes: grupos menores podem alugar o kit Interlock e executar investidas complexas sem expertise profunda.
- Ataques multiplataforma como nova norma: proteger apenas endpoints Windows já não basta; servidores Linux, containers e hypervisors viram alvos tão atrativos quanto PCs.
- Migração para infra confiável: uso de Cloudflare e Azure como C2 demonstra que provedores mainstream viraram escudo involuntário, complicando bloqueios por lista negra.
- Pressão regulatória: setores de saúde e governo, altamente sensíveis, tendem a impulsionar novas leis de reporte rápido de incidentes e requisitos de ciber-resiliência.
Em síntese, o Interlock não inaugura apenas uma variante de ransomware; ele valida uma tendência de industrialização do crime cibernético, onde a sofisticação técnica vem embalada em modelo pronto para consumo. Ignorar essa mudança é dar ao atacante justamente a vantagem que ele procura.
