El grupo de ransomware Interlock está explotando una vulnerabilidad crítica en los cortafuegos empresariales de Cisco (CVE-2026-20131) para ejecutar ataques dirigidos. La falla afecta al Cisco Secure Firewall Management Center (FMC) y permite a atacantes remotos ejecutar código Java con privilegios de root sin autenticación.
El equipo de inteligencia de Amazon Web Services (AWS) detectó la actividad maliciosa y localizó la infraestructura usada por Interlock. La campaña utiliza backdoors, scripts de reconocimiento y técnicas de evasión para mantener el control sobre los sistemas comprometidos.
Interlock es un grupo de ransomware financiero conocido por ataques de doble extorsión, cifrando datos y robándolos para presionar a las víctimas a pagar.
A continuación, compartimos IoC (Indicators of Compromise) para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
El ataque permite ejecutar código Java arbitrario con privilegios de root sin autenticación previa, simplemente enviando un objeto Java manipulado al panel web del FMC. Logrando comprometer sistemas antes de que muchas organizaciones pudieran aplicar la corrección.
Una vez que Interlock obtiene acceso inicial, utiliza una cadena de herramientas sofisticadas: scripts de reconocimiento del sistema, troyanos de acceso remoto (backdoors), métodos de evasión para evitar detección y técnicas de persistencia que mantienen el control del dispositivo comprometido.
La detección del ataque fue posible gracias a los sistemas de honeypots de Amazon, que revelaron la infraestructura operativa completa de Interlock. Esto permitió observar cómo el grupo prepara, ejecuta y mantiene sus ataques aprovechando la vulnerabilidad no parcheada antes de la divulgación pública.
