Alerta: Ransomware Interlock aprovecha falla crítica en Cisco para tomar control total

Un nuevo ataque de ransomware llamado Interlock está explotando una vulnerabilidad crítica (CVE-2026-20131) en el software Cisco Secure Firewall Management Center (FMC). Esta falla permite a los atacantes obtener acceso como administrador (root) a los sistemas afectados, incluso sin necesidad de autenticarse. Lo más preocupante es que esta vulnerabilidad fue explotada como un "día cero" desde enero de 2026, antes de que Cisco publicara la solución.

Cómo funciona el ataque

El ataque aprovecha una "deserialización insegura" de un flujo de bytes Java proporcionado por el usuario. En términos sencillos, los atacantes envían datos maliciosos diseñados para engañar al sistema y ejecutar código Java arbitrario con privilegios de administrador. Según Amazon Threat Intelligence, los atacantes envían peticiones HTTP manipuladas a una ruta específica del software afectado. Si la explotación tiene éxito, el sistema comprometido envía una petición HTTP PUT a un servidor externo para confirmar el control.

Una vez dentro, los atacantes instalan diversas herramientas:

• Un script de PowerShell para recopilar información detallada del entorno Windows, incluyendo hardware, software, servicios, conexiones de red, etc.
• Troyanos de acceso remoto (RATs) personalizados en JavaScript y Java para control remoto, ejecución de comandos y transferencia de archivos. Estos troyanos pueden auto-actualizarse y auto-eliminarse, dificultando el análisis forense.
• Un script Bash para configurar servidores Linux como proxies inversos HTTP y ocultar el origen del ataque, incluyendo la instalación de fail2ban (una herramienta de prevención de intrusiones) y HAProxy.
• Un webshell (una interfaz web maliciosa) residente en memoria para ejecutar comandos cifrados.
• Un "beacon" de red ligero para validar la ejecución del código o confirmar la accesibilidad a los puertos de red.
• ConnectWise ScreenConnect para acceso remoto persistente como vía alternativa en caso de que otros accesos sean detectados y eliminados.
• Volatility Framework, una herramienta de análisis forense de memoria de código abierto.

A quién afecta

Esta vulnerabilidad afecta a los usuarios de Cisco Secure Firewall Management Center (FMC) Software. Se recomienda a los usuarios de este software que apliquen los parches de seguridad lo antes posible. La explotación activa de esta vulnerabilidad significa que los sistemas sin parches son vulnerables a un ataque. La zona horaria de actividad del grupo Interlock parece ser UTC+3.

Qué puedes hacer

Ante esta situación, Amazon recomienda aplicar los parches de seguridad de inmediato, realizar evaluaciones de seguridad para detectar posibles intrusiones, revisar las implementaciones de ScreenConnect para detectar instalaciones no autorizadas e implementar estrategias de defensa en profundidad (múltiples capas de seguridad). La defensa en profundidad es esencial, ya que proporciona protección incluso si una sola medida de seguridad falla o aún no se ha implementado.

Qué significa esto para ti

Este ataque subraya la importancia de parchear los sistemas rápidamente y tener múltiples capas de seguridad. Incluso si tienes un programa de parches diligente, los ataques de "día cero" pueden aprovechar las vulnerabilidades antes de que haya una solución disponible. Mantente alerta y sigue las recomendaciones de seguridad para proteger tus sistemas.