Outbreak Alert: Ransomware Interlock explora falha zero-day no Cisco FMC
- Security Team
- 25 de mar.
- 2 min de leitura
O CTI do ICS Labs identificou uma campanha ativa de exploração da vulnerabilidade crítica CVE-2026-20131 no Cisco Secure Firewall Management Center (FMC), permitindo execução remota de código sem autenticação com privilégios de root. As investigações revelaram que o grupo de ransomware Interlock já explorava essa falha desde 26 de janeiro de 2026, caracterizando um cenário de zero-day ativo por mais de um mês antes da divulgação oficial. A descoberta foi possível após análise de honeypots (Amazon MadPot), que identificaram atividades maliciosas e permitiram mapear toda a cadeia de ataque.
Visão geral da ameaça:
A campanha do Interlock utiliza uma cadeia de ataque avançada que inclui:
Exploração remota via HTTP com execução de código Java
Download e execução de binários ELF maliciosos
Implantação de backdoors
Uso de webshell para execução fileless furtiva
Reconhecimento completo do ambiente
Uso das ferramentas legítimas ScreenConect para acesso remoto, Certify para exploração do Active Directory e Volatility para análise forense e dump de RAM
Comunicação criptografada
Infraestrutura Proxy
Limpeza de logs
Domínio na rede TOR para negociação
Uso de servidores proxy para C2 e exfiltração
O objetivo final dos atacantes é extorquir organizações com pressões regulatórias sobre os dados sequestrados e criptografar os sistemas corporativos.
Ações de recomendação:
Aplicar o mais recente patch de segurança da Cisco imediatamente
Revisar logs do FMC para identificar atividades suspeita
Verificar requisições HTTP anômalas e execução de código Java
Auditar acessos remotos e instalações não autorizadas
Investigar conexões para portas incomuns
Monitorar requisições TCP para portas de número alto
Medidas de Fortalecimento e Proteção:
Adotar monitoramento contínuo de eventos
Centralizar logs, tornando ineficaz a limpeza de registros a nível de dispositivo.
Monitorar execução de scripts em Powershell e Java
Realizar testes periódicos de resposta a incidentes
Manter backups offlines e regulares
IOCs:
INDICADORES | TIPO |
206.251.239[.]164 | IP |
199.217.98[.]153 | IP |
89.46.237[.]33 | IP |
144.172.94[.]59 | IP |
199.217.99[.]121 | IP |
188.245.41[.]78 | IP |
144.172.110[.]106 | IP |
95.217.22[.]175 | IP |
37.27.244[.]222 | IP |
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0 | User Agent |
hxxp://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion/chat.php | Domínio |
cherryberry[.]click | Domínio |
ms-server-default[.]com | Domínio |
initialize-configs[.]com | Domínio |
ms-global.first-update-server[.]com | Domínio |
ms-sql-auth[.]com | Domínio |
kolonialeru[.]com | Domínio |
sclair.it[.]com | Domínio |
browser-updater[.]com | Domínio |
browser-updater[.]live | Domínio |
os-update-server[.]com | Domínio |
os-update-server[.]org | Domínio |
os-update-server[.]live | Domínio |
os-update-server[.]top | Domínio |
d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be | Hash (Certify) |
6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f | Hash (ScreenLocker) |
Últimas atualizações:
Janeiro, 2026: Fortinet alerta sobre as atividades do grupo Interlock Ransomware, que havia se infiltrado em organizações nos Estados Unidos e Reino Unido.
Janeiro, 2026: Começo da exploração da CVE-2026-20131 pelo grupo Interlock, segundo times de inteligência de ameaça da Amazon.
Março, 2026: Divulgação oficial da vulnerabilidade.
Março, 2026: Amazon divulga detalhes técnicos da detecção do ransomware e exploração da vulnerabilidade.
Comentários