# Interlock Ransomware - Zero-Day Cisco FMC (CVE-2026-20131) > **ATIVO | RaaS | Multi-plataforma** - Interlock é um grupo de ransomware ativo desde setembro de 2024, notório por explorar [[cve-2026-20131|CVE-2026-20131]] (CVSS 10.0, Cisco Secure FMC) como zero-day por 36 dias antes da divulgação pública. Utiliza arsenal técnico sofisticado com RATs customizados e infraestrutura de relay para apagar rastros. ## Visão Geral **Interlock** é um grupo de ransomware-as-a-service (RaaS) identificado pela primeira vez em setembro de 2024. O grupo ganhou destaque internacional em março de 2026 quando a Amazon (AWS) revelou que o Interlock havia explorado [[cve-2026-20131|CVE-2026-20131]] - vulnerabilidade crítica CVSS 10.0 no Cisco Secure Firewall Management Center - como **zero-day por 36 dias** antes da divulgação pública, iniciando em 26 de janeiro de 2026. | Campo | Detalhe | |-------|---------| | **Tipo** | Ransomware-as-a-Service (RaaS) | | **Modelo** | Double extortion (criptografia + vazamento) | | **Primeira observação** | Setembro de 2024 | | **Status** | Ativo - alta atividade em 2025-2026 | | **Fuso horário estimado** | UTC+3 (Rússia/Europa Oriental) | | **Plataformas** | Windows (PE64), Linux (ELF) | | **Fontes** | Amazon AWS, eSentire, The Hacker News, HelpNet Security | ## Vítimas Documentadas - **DaVita** (healthcare, EUA) - **Kettering Health** (healthcare, EUA) - **Texas Tech University** (educação, EUA) - Múltiplas organizações via exploração CVE-2026-20131 (campanha ativa) ## CVE Explorado como Zero-Day ### CVE-2026-20131 - Cisco Secure FMC (CVSS 10.0) [[cve-2026-20131|CVE-2026-20131]] é uma vulnerabilidade de insecure deserialization de Java byte stream no web-based management interface do Cisco Secure Firewall Management Center (FMC). O Interlock: 1. **Explorou 36 dias antes da divulgação pública** - desde 26 de janeiro de 2026 2. Enviou objetos Java serializados maliciosos para a interface web do FMC 3. Obteve execução de código arbitrário como root sem autenticação 4. Descoberto via análise de honeypots da Amazon MadPot ## Attack Flow Documentada A Amazon AWS reconstruiu o arsenal completo do Interlock após um erro de OPSEC que expôs seu servidor de staging: ### Fase 1 - Exploração Inicial - HTTP request malicioso com corpo contendo comandos Java para o path específico do FMC - URL embutida #1: entrega dados de configuração do exploit - URL embutida #2: confirma exploração bem-sucedida via HTTP PUT para servidor externo - ELF binary baixado do servidor de staging (hub central de ferramentas) ### Fase 2 - Arsenal de Persistência e C2 | Ferramenta | Tipo | Descrição | |-----------|------|-----------| | **RAT JavaScript** | C2 customizado | Enumera hosts, executa comandos, transferência bidirecional de arquivos, SOCKS5 proxy; RC4-encrypted WebSocket; suporta self-update e self-delete | | **Implant Java** | C2 redundante | Canal C2 adicional para redundância via protocolo Java | | **Webshell in-memory** | Backdoor | Fileless - executa apenas em memória; decripta e executa payloads recebidos via requisições HTTP especialmente formatadas | | **Beacon de rede** | Verificação | Lightweight - confirma execução bem-sucedida ou acessibilidade de portas | | **ConnectWise ScreenConnect** | RMM legítimo | Acesso remoto persistente como via alternativa se outros acessos forem detectados | ### Fase 3 - Reconhecimento e Movimentação - **Script PowerShell** - enumeração sistemática de hosts Windows: sistema, usuários, dados de browser - **Volatility** - ferramenta open-source de memória forense usada para parsear dumps de memória em busca de dados sensíveis - **Certify** - identificação de templates de certificado vulneráveis e permissões de enrollment ### Fase 4 - Evasão (Relay + Log Wipe) Script Bash crítico que configura o servidor Linux comprometido como **relay de tráfego descartável**: 1. Instala fail2ban e compila/inicia HAProxy ouvindo na porta 80 2. Encaminha todo tráfego HTTP para IP controlado pelo atacante 3. **Rotina de deleção de logs via cron a cada 5 minutos** - trunca todos os `*.log` em `/var/log` 4. Desabilita histórico de shell via `unset HISTFILE` > Esta agressiva destruição de evidências é uma das marcas operacionais mais distintas do Interlock. ## TTPs MITRE ATT&CK | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | **[[t1190-exploit-public-facing-application\|T1190 - Exploit Public-Facing Application]]** | Exploração de CVE-2026-20131 no Cisco FMC | | Execução | **[[t1059-command-scripting-interpreter\|T1059 - Command and Scripting Interpreter]]** | PowerShell (Windows), Bash (Linux) | | Persistência | **T1543.003** | Instalação de serviços (ScreenConnect como serviço) | | Evasão | **[[T1070.004 - Indicator Removal File Deletion]]** | Wipe de logs a cada 5 minutos via cron | | Evasão | **[[t1090-proxy\|T1090 - Proxy]]** | HAProxy relay para mascarar origem dos ataques | | C2 | **T1071** | WebSocket RC4-encrypted para RAT JavaScript | | Exfiltração | **T1041** | Exfiltração de dados antes do deploy do ransomware | | Impacto | **[[t1486-data-encrypted-for-impact\|T1486 - Data Encrypted for Impact]]** | Deploy de ransomware (PE64 Windows / ELF Linux) | ## Recomendações de Detecção - **Cisco FMC**: Restringir acesso à interface de gerenciamento a redes internas confiáveis - **ScreenConnect**: Revisar instalações de ScreenConnect não autorizadas - **Logs de rede**: Alertar sobre HAProxy e conexões WebSocket anômalas - **Endpoint**: Monitorar execução de Volatility, Certify, scripts PowerShell de enumeração em massa - **IoCs**: AWS públicou indicadores de compromisso no blog post original ## Referências - Amazon AWS: https://aws.amazon.com/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/ - eSentire Advisory: https://www.esentire.com/security-advisories/cisco-vulnerability-CVE-2026-20131-exploited-by-interlock - The Hacker News: https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html - HelpNet Security: https://www.helpnetsecurity.com/2026/03/20/cisco-fmc-interlock-ransomware-CVE-2026-20131/ - Security Affairs: https://securityaffairs.com/189636/malware/interlock-group-exploiting-the-cisco-fmc-flaw-CVE-2026-20131-36-days-before-disclosure.html ## Wikilinks de Contexto - [[cve-2026-20131|CVE-2026-20131]] - CVE explorado como zero-day (CVSS 10.0, Cisco Secure FMC) - [[dragonforce-ransomware]] - grupo ransomware similar com atividade global - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - técnica MITRE de acesso inicial - [[T1070.004 - Indicator Removal File Deletion]] - log wipe como técnica de evasão - [[_malware]] - índice de malware no vault - [[_playbooks]] - playbooks de resposta a ransomware - [[_defenses]] - hub defensivo com controles aplicáveis