A Amazon Threat Intelligence emitiu um alerta sobre uma campanha ativa do ransomware Interlock que explora uma vulnerabilidade crítica recentemente divulgada no Cisco Secure Firewall Management Center (FMC) Software.
Trata-se da falha identificada como
CVE-2026-20131
, com pontuação máxima de severidade (CVSS 10.0).
O problema está relacionado à insecure deserialization de um stream Java byte enviado pelo usuário, o que pode permitir que um atacante remoto não autenticado contorne a autenticação e execute código Java arbitrário com privilégios de root no dispositivo afetado.
Segundo dados da rede global de sensores MadPot, da Amazon, essa vulnerabilidade vem sendo explorada como zero-day desde 26 de janeiro de 2026, ou seja, mais de um mês antes da divulgação oficial pela Cisco.
CJ Moses, CISO da Amazon Integrated Security, afirma: "Não foi apenas mais uma exploração de vulnerabilidade.
O Interlock utilizou um zero-day, garantindo uma semana de vantagem para comprometer organizações antes mesmo que os defensores soubessem da falha.
Assim que identificamos o problema, compartilhamos as informações com a Cisco para ajudar na investigação e proteção dos clientes."
A descoberta foi possível devido a um erro operacional da própria ameaça, que expôs seu kit de ferramentas em um servidor de infraestrutura configurado incorretamente.
Isso permitiu o acesso a detalhes sobre a cadeia de ataques multifásicos, trojans remotos customizados, scripts de reconhecimento e técnicas de evasão utilizadas.
A cadeia de ataque consiste no envio de requisições HTTP especialmente construídas para um caminho específico do software vulnerável, com o objetivo de executar código Java arbitrário.
Após o comprometimento, o sistema infectado realiza uma requisição HTTP PUT a um servidor externo para confirmar o sucesso da exploração.
Em seguida, comandos são enviados para baixar um arquivo binário ELF de um servidor remoto, contendo outras ferramentas associadas ao Interlock.
Entre as ferramentas identificadas estão:
- Um script de reconhecimento em PowerShell que realiza inventário detalhado de ambientes Windows, coletando informações sobre sistema operacional, hardware, serviços, softwares instalados, configuração de armazenamento, máquinas virtuais Hyper-V, arquivos de usuários em pastas como Desktop, Documentos e Downloads, artefatos dos navegadores Chrome, Edge, Firefox, Internet Explorer e 360 Browser, conexões de rede ativas e eventos de autenticação RDP.
- Trojans customizados de acesso remoto em JavaScript e Java, que oferecem funcionalidades como comando e controle, shell interativo, execução arbitrária de comandos, transferência bidirecional de arquivos, proxy SOCKS5, além de mecanismos de autoatualização e autodeleção para dificultar a análise forense.
- Um script Bash para configurar servidores Linux como proxies reversos HTTP, mascarando a origem real do atacante.
Esse script instala o fail2ban para prevenção contra intrusões e configura o HAProxy para redirecionar todo o tráfego HTTP recebido na porta 80 a um IP fixo de destino.
Também executa uma rotina periódica (cron job) que apaga logs *.log e limpa o histórico do shell para dificultar rastreamento.
- Um web shell residente em memória, que intercepta requisições contendo parâmetros cifrados com comandos que, após descriptografados, são executados.
- Um beacon leve de rede para comunicação com a infraestrutura do atacante, validando a execução remota e a conectividade após a exploração inicial.
- O ConnectWise ScreenConnect, usado para garantir acesso remoto persistente e funcionar como uma alternativa caso outras invasões sejam detectadas e eliminadas.
- O Volatility Framework, ferramenta open-source focada em análise forense de memória.
A ligação com o grupo Interlock é confirmada por indicadores técnicos convergentes, como a presença da nota de resgate embutida e o portal de negociação via TOR.
As evidências indicam que o atacante opera dentro do fuso horário UTC+3.
Diante da exploração ativa da vulnerabilidade, é urgente que os usuários apliquem os patches liberados o quanto antes, realizem avaliações de segurança para identificar possíveis comprometimentos, revisem as implementações do ScreenConnect para detectar instalações não autorizadas e adotem estratégias de defesa em profundidade (defense-in-depth).
Moses ressalta: "A verdadeira questão não é só a vulnerabilidade ou o grupo de ransomware, mas o desafio fundamental que exploits zero-day impõem a qualquer modelo de segurança.
Quando atacantes exploram falhas antes da existência de patches, nem os programas de atualização mais rigorosos conseguem proteger durante essa janela crítica."
Ele acrescenta que, por isso, a defesa em profundidade é essencial.
"Camadas de controle garantem proteção caso algum mecanismo falhe ou ainda não tenha sido implementado.
A aplicação rápida de patches é fundamental, mas a defesa em profundidade evita que organizações fiquem desamparadas entre o momento do exploit e o patch."
Essa revelação ocorre simultaneamente à constatação do Google de que grupos de ransomware estão mudando suas táticas devido à queda nos pagamentos.
Eles têm focado em vulnerabilidades comuns em VPNs e firewalls para obter acesso inicial, dependendo menos de ferramentas externas e mais de recursos nativos do Windows.
Diversos clusters de ameaça, incluindo operadores de ransomware e brokers de acesso inicial, também adotam técnicas como malvertising e otimização para motores de busca (SEO) para propagar payloads maliciosos.
Além disso, é comum o uso de credenciais comprometidas, backdoors ou softwares legítimos de desktop remoto para estabelecer pontos de apoio, assim como a exploração de ferramentas nativas para reconhecimento, escalonamento de privilégios e movimento lateral.
O Google alerta que, embora o ransomware continue entre as maiores ameaças globais, o declínio nos lucros pode levar alguns atores a buscar outras formas de monetização, como extorsão por roubo de dados, táticas mais agressivas de chantagem ou uso oportunista do acesso para ataques secundários, como envio de phishing a partir da infraestrutura comprometida.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...