Die Ransomware-Operation Interlock zählt zu den aktivsten Cyberkriminellen der Gegenwart. Seit ihrer Gründung im September 2024 hat die Gruppe bereits zahlreiche prominente Ziele ins Visier genommen – darunter britische Universitäten, das amerikanische Dialysezentrum-Netzwerk DaVita, die Texas Tech University sowie die Stadt Saint Paul in Minnesota. Nun zeigt sich: Interlock verfügt über hochprofessionelle Fähigkeiten und Ressourcen, um Zero-Day-Lücken auszubeuten, bevor diese öffentlich bekannt werden.
Die Schwachstelle CVE-2026-20131 betrifft die Web-Schnittstelle des Cisco Secure Firewall Management Center und erlaubt es Angreifern, beliebigen Java-Code mit Root-Privilegien auszuführen. Dies ist für Enterprise-Umgebungen katastrophal, da das FMC typischerweise zentral mehrere Firewalls verwaltet. Ein erfolgreich kompromittiertes FMC-System kann als Sprungbrett für Angriffe auf das gesamte Firmennetzwerk dienen.
Das Amazon Threat Intelligence Team entdeckte die böswillige Aktivität durch forensische Analyse. CJ Moses, Chief Information Security Officer von Amazon Integrated Security, betonte gegenüber BleepingComputer: “Interlock hatte einen Zero-Day in den Händen und sicherte sich damit eine Woche Vorsprung, um Organisationen zu kompromittieren, bevor Verteidiger überhaupt wussten, wonach sie suchen müssen.”
Diese Enthüllung ist bemerkenswert, weil sie zeigt, wie professionell die Interlock-Operation organisiert ist. Laut IBM X-Force haben die Cyberkriminellen kürzlich sogar ein neues Malware-Strain namens Slopoly entwickelt – offenbar mit Unterstützung durch KI-Tools. Dies deutet darauf hin, dass Interlock nicht nur Exploit-Code kauft oder stiehlt, sondern auch eigene Malware-Entwicklung betreibt.
Cisco hat das Unternehmen in einer offiziellen Stellungnahme aufgefordert, den Patch so schnell wie möglich einzuspielen. Das Problem: Viele Organisationen patchen Enterprise-Systeme nicht sofort, besonders wenn Ausfallzeiten erforderlich sind. In dieser Lücke arbeitet Interlock gezielt und sucht nach verwundbaren FMC-Installationen.
Für deutsche Unternehmen und Behörden, die Cisco-Sicherheitslösungen nutzen, ist schnelles Handeln erforderlich. Das BSI sollte zeitnah eine Warnmitteilung herausgeben. Organisationen müssen unverzüglich prüfen, ob ihre FMC-Systeme gepatcht sind und verdächtige Logs analysieren, um mögliche Kompromittierungen zu erkennen. Die Vorfälle unterstreichen auch, warum Zero-Day-Schutzprogramme und regelmäßige Sicherheitsaudits essentiell sind – Patches allein können Angreifer nicht stoppen, die Exploits bereits vor der Veröffentlichung besitzen.