RansomwareSchwachstellenHackerangriffe

Cisco-Firewall-Lücke: Interlock-Ransomware-Gruppe nutzt Zero-Day seit Januar aus

Cisco-Firewall-Lücke: Interlock-Ransomware-Gruppe nutzt Zero-Day seit Januar aus
Zusammenfassung

Die Cybercrime-Gruppe Interlock nutzt eine kritische Sicherheitslücke in Ciscos Firewall-Management-Software seit mindestens Januar dieses Jahres aus – lange bevor der Hersteller einen Patch veröffentlichte. Die Schwachstelle CVE-2026-20131 betrifft das Secure Firewall Management Center und ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code mit Root-Privilegien auszuführen. Amazon-Sicherheitsforscher entdeckten die Zero-Day-Nutzung durch eine fehlkonfigurierte Infrastruktur der Hacker und konnten so die Angriffsmethoden sowie verwendete Malware analysieren. Zeitstempel und Metadaten deuten darauf hin, dass die Täter aus Russland operieren. Die Interlock-Gruppe hat sich auf Ransomware-Anschläge gegen Bildungseinrichtungen, Ingenieurbüros, Fertigungsbetriebe, Krankenhäuser und Behörden spezialisiert. Für deutsche Nutzer und Unternehmen ist dies besonders relevant: Organisationen mit exponiertem FMC-Management-Interface sind unmittelbar gefährdet. Besonders kritisch ist die lange Zeit zwischen Januar und der Patch-Veröffentlichung im März – in dieser Phase hatten Angreifer freies Spiel. Unternehmen sollten dringend überprüfen, ob ihre Cisco-Firewalls verwundbar sind, schnellstmöglich Updates einspielen und ihre Infrastrukturen auf Kompromittierungen untersuchen.

Die von Amazon-Forschern durchgeführte Analyse zeigt ein besorgniserregendes Bild der Interlock-Kampagnen. Das Sicherheitsteam entdeckte einen fehlerhaft konfigurierten Infrastruktur-Server der Cyberkriminellen, der Einblick in deren Attack-Chain, eigene Remote-Access-Tools (RATs), Reconnaissance-Skripte und Evasion-Techniken offenbarte.

Breites Bedrohungsspektrum für Organisationen

Interlock konzentriert sich bewusst auf Sektoren, in denen Betriebsausfälle maximalen Druck auf Geldtransfers ausüben. Laut Amazon sind Bildungseinrichtungen mit dem höchsten Aufkommen betroffen, gefolgt von Ingenieurbüros, Architekten, Konstruktionsfirmen, Fertigungsbetrieben, Industrieunternehmen, Gesundheitsanbietern sowie staatlichen und kommunalen Organisationen. Für deutsche Unternehmen und Behörden in diesen Bereichen ist dies eine unmittelbare Gefahr.

Zeitstempel deuten auf russische Aktivisten hin

Besonders aufschlussreich ist die zeitliche Analyse der Bedrohungsaktivitäten. Amazon-Forscher analysierten Timestamps aus Threat-Activity, Server-Artefakte und eingebettete Metadaten. Das Ergebnis: Die Cyberkriminellen operieren vermutlich in der UTC+3-Zeitzone und zeigen ein charakteristisches Muster. Tägliche Aktivitäten beginnen um 08:30 Uhr, erreichen ihren Höhepunkt zwischen 12:00 und 18:00 Uhr und haben ein konstantes Aktivitäts-Tal von etwa 00:30 bis 08:30 Uhr. Dieses Verhaltensmuster deutet stark auf eine Basis in Russland hin, mit sekundären Möglichkeiten in Belarus oder ausgewählten Nahost-Ländern.

Kritische Verzögerung bei der Patching-Information

Besonders kritisch: Cisco kündigte den Patch erst am 4. März an – obwohl Interlock die Lücke bereits seit mindestens 26. Januar ausnutzte. Das bedeutet, dass Unternehmen ohne Ciscos zeitnahe Patch-Updates für knapp fünf Wochen ungeschützt waren. Cisco betont zwar, dass die Firewall-Management-Schnittstelle nicht ins Internet exponiert werden sollte, um die Angriffsfläche zu reduzieren – doch in der Praxis ist dies oft nicht umsetzbar.

Defensive Maßnahmen verfügbar

Amazon hat Indicators of Compromise (IoCs) zur Verfügung gestellt, um Verteidigern zu helfen, Interlock-Ransomware-Angriffe zu erkennen und zu blockieren. Organisationen sollten dringend überprüfen, ob ihre Cisco-FMC-Systeme exponiert sind, sofort Patches einspielen und die von Amazon bereitgestellten Indikatoren in ihre Sicherheitssysteme integrieren.

Ähnliche Artikel