Cisco kihasználás
Az AWS Threat Intelligence jelentése szerint az Interlock ransomware egy súlyos sérülékenységet (CVE-2026-20131) használ ki a Cisco Secure Firewall Management Center rendszerében. A sebezhetőség lehetővé teszi, hogy egy nem hitelesített támadó távolról Java kódot futtasson root jogosultsággal, ami gyakorlatilag teljes rendszerkompromittálást jelent. A csoport már a sérülékenység nyilvánosságra hozatala előtt, zero-dayként használta azt, így heteken keresztül észrevétlenül kompromittálhatott szervezeteket.
Az AWS által végzett honeypot-alapú megfigyelések szerint a támadási lánc jól strukturált és több lépcsőből áll. A kezdeti hozzáférést speciálisan kialakított HTTP kérésekkel érik el, amelyekbe beágyazott Java payloadokat juttatnak a célrendszerbe. A sikeres exploitot követően a fertőzött eszköz visszajelzést küld a támadónak, majd letölt egy rosszindulatú Linux binárist, amely a további műveletek kiindulópontja.
A kampány során egy hibásan konfigurált szerver révén az AWS kutatói hozzáfértek a teljes támadási infrastruktúrához. Ez ritka lehetőséget adott az Interlock operatív eszköztárának feltérképezésére, beleértve a saját fejlesztésű backdoorokat, felderítő szkripteket és rejtőzködési technikákat. Egy PowerShell-alapú script például részletesen feltérképezi a Windows környezetet, rendszerinformációkat, futó szolgáltatásokat, felhasználói fájlokat, böngészőadatokat és hálózati kapcsolatokat gyűjt. Ezzel párhuzamosan egy obfuszkált JavaScript-alapú RAT kerül telepítésre, amely titkosított csatornán kommunikál a C2 infrastruktúrával, és lehetővé teszi a tartós hozzáférést.
A támadók memóriában futó webshellt telepítenek, így megkerüli a hagyományos antivírus-megoldásokat. Emellett dedikált proxy-infrastruktúrát is építenek, amely naplókat rendszeresen töröl, ezzel nehezítve a forenzikai elemzést és az attribúciót. A kampány során a támadók legitim eszközöket is használnak, például a ConnectWise ScreenConnect távoli hozzáférési szoftvert, ami redundáns hozzáférési pontokat biztosít számukra. Ez a dual-use megközelítés jól ismert ransomware TTP, amely növeli a túlélőképességet az incidenskezelési lépések során.
Az Interlock célpontjai elsősorban olyan szektorok, ahol a működés megszakítása jelentős nyomást gyakorol az áldozatra, így például az oktatás, ipari és mérnöki vállalatok, egészségügy és a közszféra. A zsarolóüzenetekben gyakran szabályozási és adatvédelmi következményekkel fenyegetnek, ami a kettős zsarolás klasszikus mintáját erősíti.
