Amazon Threat Intelligence hat die Öffentlichkeit vor einer gefährlichen Kampagne der Interlock-Ransomware-Bande gewarnt, die eine kritische Schwachstelle in Cisco-Produkten systematisch ausnutzt. Bei CVE-2026-20131 handelt es sich um ein Deserialisierungsproblem in Java-Code, das es Angreifern ermöglicht, die Authentifizierung zu umgehen und beliebigen Code mit Root-Rechten auszuführen.
Das Besondere an diesem Fall: Interlock hatte die Lücke monatelang als Zero-Day in ihrem Besitz. Bereits seit dem 26. Januar 2026 exploitiert die Gruppe die Schwachstelle, während Cisco erst über einen Monat später eine öffentliche Warnung ausgab. “Das war keine gewöhnliche Schwachstelle – Interlock hatte einen Zero-Day, der ihnen einen Wochenvorteil gab, um Organisationen zu kompromittieren, bevor Verteidiger überhaupt wussten, wonach sie suchen mussten”, erklärte CJ Moses, Chief Information Security Officer von Amazon Integrated Security.
Amazon konnte diese Erkenntnisse nur durch einen operativen Sicherheitsfehler der Angreifer gewinnen. Eine fehlkonfigurierte Infrastruktur-Server legte das gesamte Toolkit der Cyberkriminalgruppe offen und offenbarte Details über das mehrstufige Angriffsschema, maßgeschneiderte Remote-Access-Trojaner, Reconnaissance-Skripte und Evasions-Techniken.
Die Angriffsweise folgt einem präzisen Muster: Die Täter versenden manipulierte HTTP-Requests an einen spezifischen Pfad in der FMC-Software, um Java-Code auszuführen. Das kompromittierte System sendet dann eine HTTP-PUT-Anfrage an einen externen Server, um erfolgreiche Ausnutzung zu bestätigen. Danach werden Commands ausgeführt, die ELF-Binärdateien von Remote-Servern herunterladen – Tools, die mit der Interlock-Infrastruktur verknüpft sind.
Die zeitliche Analyse deutet darauf hin, dass die Angreifer in der Zeitzone UTC+3 operativ sind, was auf eine russische oder osteuropäische Basis hindeutet. Die Identifikation der Interlock-Gruppe gelang durch charakteristische Ransom-Notes und das verwendete Tor-Negotiationsportal.
Für deutsche Unternehmen, die Cisco FMC nutzen, gilt höchste Alarmstufe. Amazon empfiehlt unmittelbares Patchen, Sicherheitsüberprüfungen zur Identifikation potenzieller Kompromittierungen und eine tiefgestaffelte Verteidigungsstrategie. “Der wahre Punkt ist nicht nur eine einzelne Schwachstelle – es geht um die fundamentale Herausforderung, die Zero-Days für jedes Sicherheitsmodell darstellen”, mahnt Moses.
Diese Warnung kommt zeitgleich mit Berichten von Google, wonach Ransomware-Gruppen insgesamt ihre Taktiken ändern. Mit sinkenden Lösegeldzahlungen konzentrieren sich die Täter zunehmend auf Vulnerabilities in VPNs und Firewalls und missbrauchen verstärkt integrierte Windows-Funktionen statt externer Tools. Malvertising, SEO-Manipulation und kompromittierte Zugangsdaten werden als Einstiegsvektoren bevorzugt.