Auf die laufende Ausnutzung wurde Cisco nach eigenen Angaben aufmerksam: Der Hersteller aktualisierte seine Sicherheitsmeldung zu CVE-2026-20131 am Mittwoch, um Kunden über die Angriffe in freier Wildbahn zu informieren.

Die Erkenntnisse stammen von Sicherheitsforschern bei Amazon. Sie stießen auf einen falsch konfigurierten Infrastruktur-Server der Interlock-Gruppe und konnten darüber Informationen über die Angriffskette, die selbst entwickelten Fernzugriffstrojaner (RATs), Aufklärungsskripte und Verschleierungstechniken der Gruppe sammeln.

Nach Darstellung von Amazon nimmt Interlock seit jeher Branchen ins Visier, in denen ein Betriebsausfall den größten Zahlungsdruck erzeugt. Den größten Anteil ihrer Aktivität mache der Bildungssektor aus, gefolgt von Ingenieur-, Architektur- und Bauunternehmen, der verarbeitenden Industrie und Industrieorganisationen, Gesundheitsdienstleistern sowie Behörden und Einrichtungen des öffentlichen Sektors.

Eine Auswertung von Zeitstempeln aus den Angriffsaktivitäten, Server-Artefakten und eingebetteten Metadaten deutet laut Amazon darauf hin, dass die Akteure höchstwahrscheinlich in der Zeitzone UTC+3 operieren. Das beobachtete Muster zeigt erste tägliche Aktivität gegen 08:30 Uhr, einen Höhepunkt zwischen 12:00 und 18:00 Uhr und ein durchgängig schwaches Aktivitätsfenster von etwa 00:30 bis 08:30 Uhr.

Amazon hat das Herkunftsland der Cyberkriminellen nicht ausdrücklich genannt. Die zeitliche Analyse lege jedoch nahe, dass die Angreifer wahrscheinlich in Russland ansässig sind, mit Belarus oder einzelnen Ländern des Nahen Ostens als nachgeordneten Möglichkeiten.

Zur Erkennung und Abwehr der Interlock-Ransomware-Angriffe hat Amazon zudem Kompromittierungsindikatoren (IoCs) veröffentlicht.