Outbreak Alert: Ransomware Interlock explota vulnerabilidad zero‑day en Cisco FMC
- Security Team
- 25 mar
- 2 Min. de lectura
El CTI de ICS Labs identificó una campaña activa que explota la vulnerabilidad crítica CVE-2026-20131 en Cisco Secure Firewall Management Center (FMC), la cual permite ejecución remota de código sin autenticación con privilegios de root. Las investigaciones revelaron que el grupo de ransomware Interlock ya explotaba esta falla desde el 26 de enero de 2026, caracterizando un escenario de zero‑day activo por más de un mes antes de su divulgación oficial. El descubrimiento fue posible gracias al análisis de honeypots (Amazon MadPot), que identificaron actividades maliciosas y permitieron mapear toda la cadena de ataque.
Visión general de la amenaza
La campaña de Interlock utiliza una cadena de ataque avanzada que incluye:
Explotación remota vía HTTP con ejecución de código Java
Descarga y ejecución de binarios ELF maliciosos
Implementación de backdoors
Uso de webshell para ejecución sigilosa fileless
Reconocimiento completo del entorno
Uso de herramientas legítimas como ScreenConnect para acceso remoto, Certify para explotación de Active Directory y Volatility para análisis forense y dump de RAM
Comunicación cifrada
Infraestructura Proxy
Limpieza de registros (logs)
Dominio en la red TOR para negociaciones
Uso de servidores proxy para C2 y exfiltración
El objetivo final de los atacantes es extorsionar a organizaciones mediante presión regulatoria sobre los datos secuestrados y cifrar los sistemas corporativos.
Acciones recomendadas:
Aplicar inmediatamente el parche de seguridad más reciente de Cisco
Revisar los logs del FMC para identificar actividades sospechosas
Verificar solicitudes HTTP anómalas y ejecución de código Java
Auditar accesos remotos e instalaciones no autorizadas
Investigar conexiones hacia puertos inusuales
Monitorear solicitudes TCP a puertos de números elevados
Medidas de fortalecimiento y protección:
Adoptar monitoreo continuo de eventos
Centralizar registros, volviendo inefectiva la limpieza de logs a nivel de dispositivo
Monitorear la ejecución de scripts en PowerShell y Java
Realizar pruebas periódicas de respuesta a incidentes
Mantener copias de seguridad offline y regulares
IOCs:
INDICADORES | TIPO |
206.251.239[.]164 | IP |
199.217.98[.]153 | IP |
89.46.237[.]33 | IP |
144.172.94[.]59 | IP |
199.217.99[.]121 | IP |
188.245.41[.]78 | IP |
144.172.110[.]106 | IP |
95.217.22[.]175 | IP |
37.27.244[.]222 | IP |
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0 | User Agent |
hxxp://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion/chat.php | Dominio |
cherryberry[.]click | Dominio |
ms-server-default[.]com | Dominio |
initialize-configs[.]com | Dominio |
ms-global.first-update-server[.]com | Dominio |
ms-sql-auth[.]com | Dominio |
kolonialeru[.]com | Dominio |
sclair.it[.]com | Dominio |
browser-updater[.]com | Dominio |
browser-updater[.]live | Dominio |
os-update-server[.]com | Dominio |
os-update-server[.]org | Dominio |
os-update-server[.]live | Dominio |
os-update-server[.]top | Dominio |
d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be | Hash (Certify) |
6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f | Hash (ScreenLocker) |
Últimas actualizaciones:
Enero, 2026: Fortinet alerta sobre las actividades del grupo Interlock Ransomware, que se había infiltrado en organizaciones de Estados Unidos y Reino Unido.
Enero, 2026: Inicio de la explotación de la CVE-2026-20131 por parte del grupo Interlock, según equipos de inteligencia de amenazas de Amazon.
Marzo, 2026: Divulgación oficial de la vulnerabilidad.
Marzo, 2026: Amazon publica detalles técnicos sobre la detección del ransomware y la explotación de la vulnerabilidad.
Comentarios