Amazon Threat Intelligence advierte de una situación activa Interbloqueo campaña de ransomware que aprovecha una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10,0), un caso de deserialización insegura del flujo de bytes de Java suministrado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como usuario root en un dispositivo afectado.

Según los datos obtenidos del gigante tecnológico Mad Pot red global de sensores , se dice que la falla de seguridad se explotó como un día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la divulgara públicamente.

«No se trataba solo de otro ataque de vulnerabilidad; Interlock tenía en sus manos un día cero, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera echar un vistazo. Tras hacer este descubrimiento, compartimos nuestras conclusiones con Cisco para ayudar a respaldar su investigación y proteger a los clientes», afirmó CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

Según Amazon, el descubrimiento fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de ciberdelincuencia a través de un servidor de infraestructura mal configurado, que ofrecía información sobre su cadena de ataques en varias etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

adsense

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica del software afectado con el objetivo de ejecutar código Java arbitrario, tras lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez completado este paso, se envían los comandos para buscar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente -

  • Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno Windows, la recopilación de detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración del almacenamiento, el inventario de máquinas virtuales de Hyper-V, las listas de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador Chrome, Edge, Firefox, Internet Explorer y 360, las conexiones de red activas y los eventos de autenticación RDP de los registros de eventos de Windows.
  • Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comandos y control, acceso a shell interactivos, ejecución arbitraria de comandos, transferencia bidireccional de archivos y capacidad de proxy SOCKS5. También admite mecanismos de actualización y eliminación automática para reemplazar o eliminar el artefacto sin tener que volver a infectar la máquina y poner fin a una investigación forense.
  • Un script Bash para configurar servidores Linux como proxies HTTP inversos para ocultar los verdaderos orígenes del atacante. El script ofrece fail2ban , una herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada de forma rígida. Además, el script de blanqueo de infraestructuras ejecuta una rutina de borrado de registros a modo de cron cada cinco minutos para eliminar y purgar de forma agresiva el contenido de los archivos*.log y eliminar el historial del shell desactivando la variable HISTFILE.
  • Un shell web residente en la memoria para inspeccionar las solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
  • Una baliza de red ligera para llamar por teléfono a la infraestructura controlada por un atacante que pueda validar la ejecución correcta del código o confirmar la accesibilidad del puerto de red tras la explotación inicial.
  • ConnectWise ScreenConnect para un acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
  • Marco de volatilidad , un marco forense de memoria de código abierto

Los enlaces a Interlock provienen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación de TOR. La evidencia muestra que es probable que el actor de la amenaza esté operando durante la zona horaria UTC+3.

En vista de la explotación activa de la falla, se recomienda a los usuarios que apliquen los parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles riesgos, revisen las implementaciones de ScreenConnect para detectar instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no tiene que ver solo con una vulnerabilidad o un grupo de ransomware, sino con el desafío fundamental que representan los exploits de día cero para todos los modelos de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de aplicación de parches más diligentes pueden protegerlo en ese período crítico».

enlaces

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad por capas brindan protección cuando algún control individual falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental para la gestión de las vulnerabilidades, pero una defensa exhaustiva ayuda a las organizaciones a no quedarse indefensas durante el período entre el ataque y el parche».

La divulgación se produce cuando Google revelada que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, centrándose en las vulnerabilidades de las VPN y los firewalls comunes para el acceso inicial y apoyándose menos en las herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que varios grupos de amenazas, tanto los propios operadores de ransomware como los agentes de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir las cargas de malware para el acceso inicial. Otras técnicas que se utilizan con frecuencia son el uso de credenciales comprometidas, puertas traseras o software legítimo de escritorio remoto para afianzarse, así como recurrir a herramientas integradas y ya instaladas para el reconocimiento, la escalada de privilegios y el movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de los beneficios puede provocar que algunos actores de amenazas busquen otros métodos de monetización», afirma Google. «Esto podría traducirse en el aumento del robo de datos, las operaciones de extorsión, el uso de tácticas de extorsión más agresivas o el uso oportunista del acceso a los entornos de las víctimas para utilizar mecanismos de monetización secundarios, como el uso de infraestructuras comprometidas para enviar mensajes de suplantación de identidad».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.