Interlock Ransomware Attack

Una campaña activa de ransomware Interlock está explotando una vulnerabilidad crítica (CVE-2026-20131) en el Cisco Secure Firewall Management Center (FMC), permitiendo la ejecución remota de código no autenticado como root. La campaña combina explotación de dispositivos en el borde, herramientas de malware personalizadas y tácticas de doble extorsión, indicando una operación de ransomware madura y dirigida. Más información »

Vulnerabilidades y exposiciones comunes

CVE-2026-20131

Antecedentes

Amazon Threat Intelligence identificó una campaña activa de ransomware Interlock que explotaba una vulnerabilidad crítica del Cisco Secure Firewall Management Center (FMC) (CVE-2026-20131), lo que permitía la ejecución remota de código no autenticado en dispositivos conectados a internet. La vulnerabilidad se explotó como un día cero durante más de un mes antes de la divulgación, permitiendo a los atacantes obtener acceso temprano y amplio.

Los atacantes aprovecharon la infraestructura de cortafuegos comprometida como punto de apoyo inicial en redes empresariales, desplegando una cadena de ataques en varias etapas que incluye implantes sin archivos, malware personalizado y herramientas de acceso remoto. La campaña enfatiza el sigilo, la persistencia y el reconocimiento extenso, incluyendo la recopilación de datos del sistema, credenciales y red antes del despliegue de ransomware.

En general, la campaña destaca un cambio hacia la explotación de dispositivos en el borde como punto de entrada principal, combinando vulnerabilidades zero-day, técnicas sin archivos y doble extorsión para lograr un compromiso empresarial total con menos oportunidades de detección.

FortiGuard Labs ha seguido previamente el actor de la amenaza Interlock y sus actividades asociadas desde su aparición en septiembre de 2024, con evolución continua observada durante las campañas de 2025 y principios de 2026, incluyendo análisis detallados publicados el 29 de enero de 2026.