rat-interlock - RunkIntel

# Interlock RAT > [!critical] RAT Customizado do Interlock - Exploração Cisco FMC Zero-Day > O Interlock RAT é um conjunto de ferramentas de acesso remoto customizadas desenvolvidas pelo grupo **Interlock Ransomware**, utilizadas em conjunto com a exploração da vulnerabilidade zero-day **CVE-2026-20131** no Cisco Firepower Management Center (CVSS 10.0). Inclui variantes em JavaScript e Java com comunicação WebSocket criptografada via RC4. ## Visão Geral O Interlock RAT representa a infraestrutura de acesso remoto do grupo de ransomware [[interlock-ransomware]], um ator de ameaça identificado em setembro de 2024 e especializado em ataques de dupla extorsão contra setores críticos. O conjunto inclui duas implementações distintas: um RAT baseado em JavaScript para acesso inicial e persistência leve, e um RAT baseado em Java para operações de pós-exploração com funcionalidades avançadas. A campanha mais significativa documentada envolve a exploração da vulnerabilidade [[cve-2026-20131|CVE-2026-20131]] no Cisco Firepower Management Center (FMC), uma falha de execução remota de código não autenticada com pontuação CVSS máxima de 10.0. O grupo explorou esta vulnerabilidade como zero-day desde 26 de janeiro de 2026, semanas antes da divulgação pública pela Cisco, demonstrando capacidade sofisticada de desenvolvimento de exploits. A escolha do Cisco FMC como vetor de entrada é estratégica: o sistema gerencia toda a infraestrutura de segurança de rede das organizações alvejadas, fornecendo ao atacante visibilidade imediata da arquitetura de segurança da vítima e facilitando o movimento lateral sem acionar alertas típicos. ## Como Funciona **Variante JavaScript (acesso inicial):** - Implantado via exploração do Cisco FMC (CVE-2026-20131) ou via ClickFix - Comúnicação C2 via WebSocket com criptografia RC4 por mensagem - Funcionalidades: execução de comandos shell, upload/download de arquivos - Auto-deleção após completar fase inicial para reduzir rastros - Suporte a SOCKS5 proxy para tunelamento de tráfego **Variante Java (pós-exploração):** - Executado após estabelecer acesso inicial via RAT JavaScript - Funcionalidades avançadas: screenshot, keylogger, enumeração de rede - Mecanismo de atualização remota do próprio RAT (auto-update) - Tunelamento de protocolos para bypass de firewalls internos - Comúnicação com múltiplos C2 para resiliência **Cadeia de ataque no Cisco FMC:** 1. Identificação de instâncias FMC expostas via scanning massivo 2. Exploração do CVE-2026-20131 para RCE não autenticado 3. Implantação do RAT JavaScript via script bash HAProxy 4. Instalação opcional do ScreenConnect para acesso redundante 5. Deployamento do RAT Java para operações avançadas 6. Movimento lateral via credenciais capturadas pelo FMC 7. Exfiltração de dados e implantação de ransomware Interlock ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento Scan de Cisco FMC exposto na internet"] --> B["💥 Exploração Zero-Day CVE-2026-20131 RCE CVSS 10.0"] B --> C["📦 Implantação RAT JS WebSocket C2 RC4 criptografado"] C --> D["🔐 Acesso Persistente ScreenConnect instalado como backup"] D --> E["☕ RAT Java Pós-exploração avançada keylogger screenshot"] E --> F["↔️ Movimento Lateral Credenciais do FMC acesso à rede interna"] F --> G["📤 Exfiltração Dados sensíveis dupla extorsão"] G --> H["🔒 Ransomware Interlock payload criptografia de arquivos"] ``` **Legenda:** [[interlock-ransomware]] · [[cve-2026-20131|CVE-2026-20131]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1059-007-javascript|T1059.007]] ## Timeline ```mermaid timeline title Interlock RAT - Linha do Tempo 2024-09 : Grupo Interlock identificado : Primeiras vitimas documentadas : Foco em setor saude e governo 2026-01-26 : Zero-day CVE-2026-20131 : Exploração ativa do Cisco FMC : Semanas antes da divulgacao 2026-03 : Cisco divulga CVE-2026-20131 : CVSS 10.0 publicado : Patch emergencial disponível 2026-03 : Análise do Interlock RAT : JS e Java variantes documentadas : CISA adiciona ao KEV ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2026-20131 RCE no Cisco FMC | | JavaScript | [[t1059-007-javascript\|T1059.007]] | RAT primário implementado em JavaScript | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via WebSocket sobre HTTP/HTTPS | | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Tunelamento SOCKS5 por firewalls | | Non-Application Layer Protocol | [[t1095-non-application-layer-protocol\|T1095]] | Protocolo RC4 encapsulado em WebSocket | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Auto-deleção do RAT JS após fase inicial | | Unix Shell | [[t1059-004-unix-shell\|T1059.004]] | Script bash HAProxy para implantação | ## Relevância para o Brasil e LATAM O grupo [[interlock-ransomware]] e o uso de vulnerabilidades em sistemas de segurança de rede como o Cisco FMC representam ameaça direta para o Brasil: **Exposição de Cisco FMC no Brasil:** - O Cisco FMC é amplamente implantado em organizações do [[government|governo]], [[financial|financeiro]] e infraestrutura crítica brasileiros como solução de gerenciamento de firewalls - A Anatel e o setor de [[telecommunications|telecomúnicações]] brasileiro possuem grandes implantações Cisco que poderiam ser afetadas - Organizações do setor de [[energy|energia]] (Petrobras, distribuidoras regionais) utilizam Cisco FMC para segmentação de redes OT/IT **Histórico de ataques na LATAM:** - O grupo Interlock realizou ataques documentados contra hospitais e órgãos de saúde no Brasil em 2025 - A técnica de exploração de sistemas de segurança (FMC, VPN gateways) para acesso inicial é preferida na LATAM por reduzir a visibilidade nos alertas de SOC - A [[lgpd|LGPD]] exige notificação quando dados de brasileiros são exfiltrados, mesmo em ataques originados de fornecedores globais ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Interlock RAT (TLP:GREEN) > **Padrões de rede:** > Conexões WebSocket persistentes para IPs não autorizados > Tráfego RC4 encapsulado em WebSocket (header Upgrade: websocket suspeito) > > **Processos suspeitos:** > `java -jar` executado a partir de diretório web do FMC > Scripts bash invocando HAProxy com parâmetros incomuns > > **Artefatos:** > Arquivos .js em diretórios do Cisco FMC > JARs não assinados em caminhos temporários > Binários ScreenConnect em diretórios não padrão > > **Fonte:** [Cisco Talos Advisory](https://blog.talosintelligence.com) · [CISA KEV CVE-2026-20131](https://www.cisa.gov) **Mitigação urgente:** - Aplicar patch CVE-2026-20131 imediatamente (disponível desde mar/2026) - Restringir acesso ao Cisco FMC apenas a IPs de administração autorizados via ACL - Implementar MFA para acesso ao FMC e revisar contas administrativas - Monitorar conexões WebSocket de saída em hosts FMC - Auditar instalações de ScreenConnect e ferramentas RMM em toda a rede ## Referências - [1](https://blog.talosintelligence.com) Cisco Talos - Interlock Ransomware Group Exploiting CVE-2026-20131 (2026) - [2](https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-fmc-rce.html) Cisco Security Advisory - CVE-2026-20131 Cisco FMC RCE (2026) - [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) CISA KEV - CVE-2026-20131 Added (2026) - [4](https://www.bleepingcomputer.com/news/security/interlock-ransomware-exploiting-cisco-fmc-zero-day/) BleepingComputer - Interlock Ransomware Exploiting Cisco FMC Zero-Day (2026) - [5](https://attack.mitre.org/groups/G1047/) MITRE ATT&CK - Interlock Ransomware Group Profile - [6](https://www.crowdstrike.com/blog/interlock-ransomware-analysis/) CrowdStrike - Interlock Ransomware Technical Analysis (2025)