# Interlock Ransomware > [!warning] Zero-Day Ativo > O Interlock explorou o [[cve-2026-20131|CVE-2026-20131]] (CVSS 10.0 - RCE em Cisco Secure Firewall Management Center) como zero-day a partir de **26 de janeiro de 2026** - 36 dias antes do patch da Cisco (4 de marco de 2026). Organizacoes com Cisco FMC devem aplicar o patch imediatamente. ## Visão Geral O **Interlock** e um grupo de ransomware observado pela primeira vez em **setembro de 2024**, que se diferencia da maioria dos operadores RaaS por **nao utilizar afiliados** nem realizar recrutamento público. O grupo opera de forma independente, conduzindo campanhas de "Big Game Hunting" contra grandes organizacoes. A operação utiliza o site de vazamento **"Worldwide Secrets Blog"** para pressionar vitimas com dupla extorsao - criptografia combinada com exfiltração e ameaça de públicacao de dados roubados. O FBI e CISA descrevem o grupo como **oportunista na selecao de alvos** e financeiramente motivado. **Evolução do grupo:** - **Setembro 2024**: Primeira observacao em operação - **Fevereiro 2025**: Experimentacao com ClickFix como vetor de acesso inicial - **Maio 2025**: Adocao completa da técnica ClickFix; FBI/CISA emitem advisory (aa25-203a) em **22 de julho de 2025** - **Janeiro 2026**: Exploração zero-day do [[cve-2026-20131|CVE-2026-20131]] em Cisco FMC - semanas antes da divulgacao pública - **Marco 2026**: Patch Cisco disponibilizado (CVE-2026-20131 - 4 de marco 2026) ### Attack Flow - Interlock ```mermaid graph TB A["🎭 ClickFix / FileFix<br/>CAPTCHA falso · Teams fake<br/>T1204 · T1189"] --> B["📦 LummaStealer<br/>Roubo de credenciais<br/>BerserkStealer"] B --> C["🚪 Acesso Inicial<br/>RDP/PsExec com credenciais<br/>T1021"] C --> D["🔍 Enumeracao<br/>Discovery + PowerShell RAT<br/>Persistência C2 · T1547"] D --> E["🔒 Cisco FMC Zero-Day<br/>CVE-2026-20131 - RCE root<br/>T1190 · ELF deploy"] E --> F["💥 Dupla Extorsao<br/>Criptografia Windows/Linux/FreeBSD<br/>T1486 · Worldwide Secrets Blog"] ``` ## Técnica ClickFix - Engenharia Social Avancada O Interlock foi um dos primeiros grupos ransomware a adotar sistematicamente o **ClickFix**, uma técnica de engenharia social que instrui vitimas a auto-executar payloads maliciosos: **Como funciona o ClickFix:** 1. Vitima acessa site comprometido ou recebe link malicioso 2. Uma pagina falsa de CAPTCHA, verificação do Microsoft Teams ou Advanced IP Scanner e exibida 3. A pagina instrui o usuario a pressionar `Win+R` e colar um comando PowerShell codificado em Base64 4. Variante "FileFix": usuario copia comando para o Explorer address bar 5. O comando executa payload que instala o PowerShell RAT ou baixa infostealers **Por que e efetivo:** - Bypassa detecção por ter o proprio usuario executando o comando - Nao requer exploração de vulnerabilidade técnica - Funciona contra targets sem patch e targets com postura de segurança solida - Dificil de detectar via DLP ou sandboxes - usuario legitimo executa o comando ### Variante FileFix (2026) Evolução do ClickFix onde o usuario e instruido a colar o comando diretamente na barra de endereco do Windows Explorer, expandindo o vetor para usuarios que nao usam o dialogo `Win+R`. ## Arsenal Técnico ### PowerShell RAT (Customizado) Ferramenta de Acesso Remoto desenvolvida pelo proprio grupo: - Opera em modo separado sem jánela visivel - Coleta dados do host: hardware, rede, VMs presentes - Permite execução remota de comandos e entrega de payloads adicionais - Comúnicação C2 via HTTP POST para servidores com subdomínios trycloudflare - Modificacoes em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` para persistência ### Variante FreeBSD/Linux Diferentemente da maioria dos grupos que foca apenas em Windows, o Interlock desenvolveu encryptors para: - **Windows**: ransomware principal com extensao customizada - **Linux/FreeBSD**: binarios ELF que criptografam VMs em ambientes multi-OS - **Java implants**: para C2 em sistemas nao-Windows - **Bash scripts**: para reles de anonimizacao - **JS RATs**: com capacidade de auto-atualização e auto-delecao ### CVE-2026-20131 - Cisco Secure Firewall Management Center A exploração mais critica do grupo em 2026: - **CVSS**: 10.0 (critico máximo) - **Tipo**: Desserializacao Java insegura em Cisco FMC - **Acesso**: Requisicoes HTTP craftadas resultam em RCE com privilegios root - **Zero-day**: Explorado a partir de 26 de janeiro de 2026, 36 dias antes do patch - **Pos-exploração**: Download de binarios ELF e deploy de ferramentas adicionais ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Sites legitimos comprometidos como vetor inicial | | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2026-20131 Cisco FMC zero-day | | Execution | User Execution | [[t1204-user-execution\|T1204]] | ClickFix/FileFix - usuario auto-executa payloads | | Execution | Command and Scripting | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell codificado em Base64; scripts de automacao | | Persistence | Boot/Logon Autostart | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Chaves de registro Run para persistência do PowerShell RAT | | Defense Evasion | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Codificacao XOR + compressao Gzip; abuso de subdomínios trycloudflare | | Lateral Movement | Remote Services | [[t1021-remote-services\|T1021]] | RDP e PsExec com credenciais roubadas via infostealers | | C2 | Application Layer Protocol | [[t1071-application-layer-protocol\|T1071]] | HTTP POST para servidores C2 com subdomínios trycloudflare | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de drives locais e remotos em Windows/Linux/FreeBSD | ## Vítimas e Setores **Vitimas confirmadas:** - **City of St. Paul, Minnesota** (EUA) - julho 2025, reivindicado em agosto 2025 - Organizacoes com Cisco FMC expostos na internet (múltiplas vitimas nao divulgadas) - Setor de saúde via ClickFix (múltiplos casos documentados) **Perfil de alvo:** O Interlock e oportunista, priorizando **grandes organizacoes** com alto potencial de pagamento. O grupo nao discrimina por setor - busca vitimas com infraestrutura Cisco FMC exposta ou com baixa conscientizacao de segurança para ClickFix. ## Relevância para o Brasil e LATAM O Interlock representa uma ameaça crescente para organizacoes brasileiras e latino-americanas, especialmente aquelas que: - Operam **Cisco Secure Firewall Management Center** (FMC) sem o patch do [[cve-2026-20131|CVE-2026-20131]] - Tem colaboradores vulneraveis a **ClickFix** - ambiente corporativo com pouca conscientizacao de segurança - Possuem **infraestrutura critica** com potencial de pagamento de resgaté elevado > [!danger] Acao Imediata Necessaria > Organizacoes brasileiras com Cisco FMC devem verificar se o patch do [[cve-2026-20131|CVE-2026-20131]] foi aplicado. O Interlock explorou este zero-day 36 dias antes do patch público. A jánela de exposicao pode ter afetado organizacoes que demoram a aplicar patches criticos. **Recomendacoes de mitigação:** - Aplicar patch Cisco FMC (versao que resolve CVE-2026-20131, disponível desde 4 de marco 2026) imediatamente - Bloquear acesso externo ao Cisco FMC - o sistema nao deve ser exposto diretamente na internet - Treinar usuarios contra ClickFix - NUNCA colar e executar comandos de CAPTCHAs ou verificacoes de segurança - Monitorar modificacoes em chaves de registro Run e comúnicacoes HTTP POST para subdomínios trycloudflare - Implementar detecção de [[s1213-lumma-stealer|LummaStealer]] e [[berserkstealer|BerserkStealer]] em EDR ## Indicadores de Comprometimento (Comportamentais) - CAPTCHAs ou verificacoes de segurança solicitando copiar e colar comandos PowerShell - Comúnicacoes C2 via subdomínios `*.trycloudflare.com` - Modificacoes em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com entradas incomuns - Presence de [[s1213-lumma-stealer|LummaStealer]] ou [[berserkstealer|BerserkStealer]] em logs de EDR - Arquivos com extensao de criptografia Interlock em shares corporativos - Requisicoes HTTP crafted ao Cisco FMC na porta padrao ## Referências - [Arctic Wolf - Threat Actor Profile: Interlock Ransomware](https://arcticwolf.com/resources/blog/threat-actor-profile-interlock-ransomware/) - [FBI/CISA - StopRansomware: Interlock Advisory (aa25-203a)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a) - [The Hacker News - Interlock Exploits Cisco FMC CVE-2026-20131](https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html) - [AWS Security - Interlock Ransomware Campaign Targeting Enterprise Firewalls](https://aws.amazon.com/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/) - [HelpNet Security - Cisco FMC Interlock CVE-2026-20131](https://www.helpnetsecurity.com/2026/03/20/cisco-fmc-interlock-ransomware-CVE-2026-20131/) - [Picus Security - Interlock ClickFix Healthcare Attack](https://www.picussecurity.com/resource/blog/interlock-clickfix-ransomware-healthcare-attack) - [Kaspersky - Interlock Ransomware ClickFix Attack](https://www.kaspersky.com/blog/interlock-ransomware-clickfix-attack/53414/) **Atores relacionados:** [[lockbit|LockBit]] · [[qilin|Qilin]] · [[black-basta|Black Basta]] **Campanhas:** [[interlock-cisco-fmc-campaign-2026]] · [[interlock-city-stpaul-2025]] **CVEs exploradas:** [[cve-2026-20131|CVE-2026-20131]] **Malware e ferramentas:** [[s1213-lumma-stealer|LummaStealer]] · [[berserkstealer|BerserkStealer]] · [[s1124-socgholish|SocGholish]] · [[interlock-powershell-rat|PowerShell RAT]] **TTPs principais:** [[t1189-drive-by-compromise|T1189]] · [[t1204-user-execution|T1204]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1059-command-and-scripting-interpreter|T1059]] **Setores alvejados:** [[technology|Tecnologia]] · [[critical-infrastructure|Infraestrutura Critica]] · [[government|Governo]] · [[healthcare|Saúde]]