Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una defecto de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).
La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el beneficiario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java injustificado como root en un dispositivo afectado.
Según los datos obtenidos de la red completo de sensores MadPot del coloso tecnológico, se dice que la defecto de seguridad fue explotada como un día cero desde el 26 de enero de 2026, más de un mes ayer de que Cisco la revelara públicamente.
“Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de preeminencia para comprometer a las organizaciones ayer de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes”, dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un mensaje compartido con The Hacker News.
El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su conjunto de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su sujeción de ataque de múltiples etapas, troyanos de llegada remoto personalizados, scripts de inspección y técnicas de diversión.
La sujeción de ataque implica el remesa de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java injustificado, luego de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor foráneo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.
La repertorio de herramientas identificadas es la posterior:
- Un script de inspección de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema activo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de beneficiario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
- Troyanos de llegada remoto personalizados escritos en JavaScript y Java para comando y control, llegada interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. Incluso admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
- Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El script ofrece fail2ban, una utensilio de prevención de intrusiones de Linux de código extenso, y compila y genera una instancia de HAProxy que audición en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Adicionalmente, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
- Un shell web residente en memoria para inspeccionar solicitudes entrantes en rebusca de parámetros especialmente diseñados que contengan cargas bártulos de comandos cifradas, que luego se descifran y ejecutan.
- Una baliza de red liviana para vocear a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación original.
- ConnectWise ScreenConnect para llegada remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
- Volatility Framework, un entorno forense de memoria de código extenso
Los enlaces a Interlock surgen de indicadores técnicos y operativos “convergentes”, incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté activo durante la zona horaria UTC+3.
A la luz de la explotación activa de la defecto, se recomienda a los usuarios que apliquen parches lo ayer posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en rebusca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.
“La verdadera historia aquí no se manejo solo de una vulnerabilidad o un conjunto de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada maniquí de seguridad”, dijo Moses. “Cuando los atacantes explotan las vulnerabilidades ayer de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica”.
“Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control defecto o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la dirección de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche”.
La divulgación se produce cuando Google reveló que los actores de ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de plazo, apuntando a vulnerabilidades en VPN y firewalls comunes para el llegada original y apoyándose menos en herramientas externas y más en capacidades integradas de Windows.
Incluso se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de llegada original, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas bártulos de malware para el llegada original. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto seguro para establecer un punto de apoyo, así como fiarse en herramientas integradas y ya instaladas para inspección, subida de privilegios y movimiento supletorio.
“Si admisiblemente anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización”, dijo Google. “Esto podría manifestarse como un aumento de las operaciones de perturbación por robo de datos, el uso de tácticas de perturbación más agresivas o el uso oportunista de llegada a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para dirigir mensajes de phishing”.
