Una campaña de ransomware está poniendo en alerta a empresas de todo el mundo tras confirmarse que el grupo Interlock está explotando una vulnerabilidad crítica en sistemas de firewall de Cisco, incluso antes de que la falla fuera divulgada públicamente.
La vulnerabilidad, identificada como CVE-2026-20131, afecta al software Cisco Secure Firewall Management Center (FMC) y permite a un atacante ejecutar código de forma remota con privilegios de administrador sin autenticación. El fallo reside en el manejo de solicitudes HTTP dentro de la interfaz web del sistema, lo que permite la inyección y ejecución de código en el backend.
Según investigaciones de Amazon Threat Intelligence, la explotación comenzó el 26 de enero de 2026, más de un mes antes de que Cisco hiciera pública la vulnerabilidad el 4 de marzo, configurando un escenario claro de explotación zero-day en entornos productivos.
A nivel técnico, el ataque se basa en el envío de requests HTTP especialmente construidas contra endpoints expuestos del FMC. Estas peticiones permiten ejecutar código en el sistema subyacente — que incluye componentes basados en Java—, lo que facilita la ejecución de comandos arbitrarios con privilegios de root. Una vez comprometido el dispositivo, los atacantes establecen comunicación con infraestructura externa para validar la intrusión y descargar payloads adicionales.
La actividad observada incluye el uso de scripts de reconocimiento, herramientas de enumeración del sistema y utilidades orientadas a persistencia y movimiento lateral dentro de la red. Esto sugiere que el acceso inicial al FMC no es el objetivo final, sino un punto de entrada privilegiado para comprometer el entorno completo.
Un elemento clave en la atribución y análisis de la campaña fue un error operativo del propio grupo Interlock: la exposición de un servidor mal configurado permitió a los investigadores acceder a herramientas internas, incluyendo binarios y scripts utilizados en la intrusión. Esto facilitó la reconstrucción de la cadena de ataque y sus técnicas post-explotación.
El impacto es especialmente crítico debido al rol del FMC como plano de gestión centralizada de firewalls. Su compromiso puede traducirse en visibilidad completa del tráfico, manipulación de políticas de seguridad y expansión del ataque hacia otros activos protegidos.
Cisco confirmó que no existen mitigaciones alternativas efectivas más allá de la aplicación de parches, por lo que la actualización inmediata es la principal medida recomendada. Adicionalmente, tanto Cisco como Amazon sugieren revisar indicadores de compromiso y monitorear actividad anómala en la interfaz de gestión, especialmente tráfico HTTP no habitual hacia el FMC.
El caso de Interlock confirma que el impacto del ransomware ya no se limita al cifrado de datos, sino que se extiende al compromiso de infraestructura crítica y sistemas de seguridad, con potenciales consecuencias regulatorias y de cumplimiento. Más allá de esta vulnerabilidad puntual, el incidente vuelve a poner en primer plano el riesgo de los zero-day: cuando la explotación precede a la divulgación, incluso las organizaciones con políticas de parcheo maduras quedan expuestas. En este contexto, el parcheo sigue siendo esencial, pero insuficiente por sí solo; la resiliencia depende de una estrategia de defensa en profundidad, con controles compensatorios, monitoreo continuo y segmentación que permitan contener el impacto cuando un sistema crítico es comprometido.
IOCs
Se recomienda a los administradores cotejar sus logs con los hashes y direcciones IP proporcionados en el reporte de Amazon Threat Intelligence:
| 206.251.239[.]164 | Exploit source IP | Activo enero 2026 |
| 199.217.98[.]153 | Exploit source IP | Activo marzo 2026 |
| 89.46.237[.]33 | Exploit source IP | Activo marzo 2026 |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0 | Exploit HTTP User-Agent | Observado enero 2026 y marzo 2026 |
| b885946e72ad51dca6c70abc2f773506 | Exploit TLS JA3 | Observado enero 2026 y marzo 2026 |
| f80d3d09f61892c5846c854dd84ac403 | Exploit TLS JA3 | Observado marzo 2026 |
| t13i1811h1_85036bcba153_b26ce05bbdd6 | Exploit TLS JA4 | Observado enero 2026 y marzo 2026 |
| t13i4311h1_c7886603b240_b26ce05bbdd6 | Exploit TLS JA4 | Observado marzo 2026 |
| 144.172.94[.]59 | C2 Fallback IP | Observado marzo 2026 |
| 199.217.99[.]121 | C2 Fallback IP | Observado marzo 2026 |
| 188.245.41[.]78 | C2 Fallback IP | Observado marzo 2026 |
| 144.172.110[.]106 | Backend C2 IP | Observado marzo 2026 |
| 95.217.22[.]175 | Backend C2 IP | Observado marzo 2026 |
| 37.27.244[.]222 | Staging host IP | Activo marzo 2026 |
| hxxp://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion/chat.php | Ransom negotiation portal | Activo marzo 2026 |
| cherryberry[.]click | Exploit Support Domain | Activo enero 2026 |
| ms-server-default[.]com | Exploit Support Domain | Activo marzo 2026 |
| initialize-configs[.]com | Exploit Support Domain | Activo marzo 2026 |
| ms-global.first-update-server[.]com | Exploit Support Domain | Activo marzo 2026 |
| ms-sql-auth[.]com | Exploit Support Domain | Activo marzo 2026 |
| kolonialeru[.]com | Exploit Support Domain | Activo marzo 2026 |
| sclair.it[.]com | Exploit Support Domain | Activo marzo 2026 |
| browser-updater[.]com | C2 domain | Activo marzo 2026 |
| browser-updater[.]live | C2 domain | Activo marzo 2026 |
| os-update-server[.]com | C2 domain | Activo marzo 2026 |
| os-update-server[.]org | C2 domain | Activo marzo 2026 |
| os-update-server[.]live | C2 domain | Activo marzo 2026 |
| os-update-server[.]top | C2 domain | Activo marzo 2026 |
| d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be | Offensive security tool (Certify) | Observado marzo 2026 |
| 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f | Screen locker | Observado marzo 2026 |
Fuente
https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html
Ciberprisma - alianza por la ciberseguridad 