Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica revelada recientemente en el software Cisco Secure Firewall Management Center (FMC).
La vulnerabilidad en cuestión, CVE-2026-20131 (puntaje CVSS: 10.0), es un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que permite a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.
Se dice que la falla de seguridad ha sido explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la hiciera pública, según datos recopilados de la red global de sensores MadPot del gigante tecnológico.
«Esto fue más que una simple explotación de vulnerabilidad. Interlock tenía el control del día cero y pudo obtener una ventaja de una semana para comprometer a las organizaciones antes de que los defensores se enteraran. Tras este descubrimiento, apoyamos la investigación de Cisco y compartimos nuestros hallazgos con Cisco para proteger a nuestros clientes», dijo a The Hacker News CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security. Así se afirma en el informe compartido.
Amazon dijo que el descubrimiento fue posible gracias a un error de seguridad operativa por parte de los atacantes que expusieron el conjunto de herramientas operativas del grupo cibercriminal a través de servidores de infraestructura mal configurados, proporcionando información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.
Esta cadena de ataque implica enviar una solicitud HTTP diseñada a una ruta específica en el software afectado con la intención de ejecutar código Java arbitrario, y luego el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, se envían comandos para recuperar archivos binarios ELF de servidores remotos que alojan otras herramientas vinculadas a Interlock.
La lista de herramientas identificadas es:
Script de reconocimiento de PowerShell utilizado para la enumeración sistemática del entorno de Windows. Recopila detalles sobre el sistema operativo y el hardware, servicios en ejecución, software instalado, configuración de almacenamiento, inventario de máquinas virtuales Hyper-V, lista de archivos de usuario en el escritorio, documentos y directorios de descarga, artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y 360, conexiones de red activas y eventos de autenticación RDP del registro de eventos de Windows. Un troyano de acceso remoto personalizado escrito en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y funcionalidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación que permiten reemplazar o eliminar artefactos sin reinfectar las máquinas ni desafiar la investigación forense. Un script Bash para configurar un servidor Linux como proxy inverso HTTP y ocultar el verdadero origen del atacante. Este script proporciona fail2ban, una herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de limpieza de registros como una tarea cron cada cinco minutos, eliminando y purgando agresivamente el contenido de los archivos *.log y desestableciendo la variable HISTFILE para suprimir el historial del shell. Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifrados. Luego se descifra y ejecuta. Una baliza de red liviana para realizar llamadas a infraestructura controlada por atacantes. Podría ser validar la ejecución exitosa del código después de la explotación inicial o verificar la accesibilidad del puerto de red. ConnectWise ScreenConnect proporciona acceso remoto persistente y sirve como ruta alternativa si se detectan y eliminan otros andamios. Volatility Framework, un marco forense de memoria de código abierto
El vínculo con Interlock surge de indicadores técnicos y operativos “intensivos”, como una nota de rescate integrada y el portal de negociación TOR. La evidencia indica que el atacante probablemente esté operando en la zona horaria UTC+3.
Dada la explotación activa de esta falla, recomendamos que los usuarios parcheen lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen una estrategia de defensa en profundidad.
«La verdadera historia aquí no se trata sólo de una vulnerabilidad o un grupo de ransomware. Se trata del desafío fundamental que los exploits de día cero plantean para cualquier modelo de seguridad», dijo Moses. «Si un atacante explota una vulnerabilidad antes de que exista un parche, incluso el programa de parcheo más diligente no podrá proteger a los usuarios en ese momento crítico».
«Esta es exactamente la razón por la que la defensa en profundidad es tan importante. Los controles de seguridad en capas brindan protección cuando un solo control falla o aún no está implementado. La aplicación rápida de parches sigue siendo fundamental para la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a garantizar que las organizaciones no queden vulnerables en el período entre el exploit y el parche».
La divulgación se produce después de que los atacantes de ransomware revelaran que están cambiando sus tácticas en respuesta a tasas de pago más bajas, apuntando a vulnerabilidades comunes de VPN y firewall para el acceso inicial y centrándose en las funciones integradas de Windows en lugar de herramientas externas.
También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los agentes de acceso temprano, emplean tácticas de publicidad maliciosa y optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen establecer un punto de apoyo utilizando credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo, y aprovechar herramientas integradas o ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.
«Esperamos que el ransomware siga siendo una de las amenazas más dominantes del mundo, pero la disminución de las ganancias puede llevar a algunos actores de amenazas a buscar otros métodos de monetización», dijo Google en un comunicado. «Esto podría manifestarse como un aumento del robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista del acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».
Source link
