RansomwareSchwachstellenHackerangriffe

Interlock-Ransomware-Bande nutzte Cisco-Firewall-Lücke Wochen vor Veröffentlichung

Interlock-Ransomware-Bande nutzte Cisco-Firewall-Lücke Wochen vor Veröffentlichung
Zusammenfassung

Die Ransomware-Bande Interlock hat eine kritische Sicherheitslücke in der weit verbreiteten Cisco Secure Firewall Management Center Lösung bereits mehrere Wochen vor der öffentlichen Bekanntmachung ausgenutzt. Amazon-Sicherheitsexperten berichten, dass die Angreifer die Schwachstelle CVE-2024-20131 bereits ab dem 26. Januar für Cyberattacken einsetzten, während Cisco erst am 4. März eine Sicherheitsmitteilung veröffentlichte. Dies gab der Bande einen entscheidenden zeitlichen Vorsprung, um Organisationen zu kompromittieren, bevor Verteidigungssysteme überhaupt aktiviert werden konnten. Die Interlock-Gruppe ist bekannt für ihre Anschläge auf Kommunen, Schulen und Krankenhäuser – wie beispielsweise die verheerenden Attacken auf die Stadt St. Paul in Minnesota und große US-amerikanische Gesundheitseinrichtungen. Für deutsche Nutzer, Unternehmen und Behörden ist dieses Vorfall besonders relevant, da Cisco-Firewalls weltweit Standard-Infrastruktur darstellen und solche Zero-Day-Exploits auch europäische Organisationen gefährden. Die Entdeckung zeigt zudem, wie Ransomware-Gruppen gezielt kritische Infrastrukturen auswählen und regulatorische Bestimmungen als Erpressungsinstrument nutzen – eine Bedrohung, die auch deutsche Institutionen treffen kann.

Die Gefahr von Zero-Day-Exploits wird am Fall der Interlock-Ransomware-Gruppe besonders deutlich. Amazon-Sicherheitsforscher entdeckten, dass die kriminelle Organisation die kritische Schwachstelle CVE-2026-20131 in Ciscos zentralisierter Firewall-Verwaltungsplattform bereits am 26. Januar 2025 für Angriffe einsetzte — volle sieben Tage vor der öffentlichen Offenlegung am 4. März. “Das war keine gewöhnliche Schwachstelle,” erklärte Moses. “Interlock hatte einen Zero-Day in den Händen und konnte eine Woche lang Organisationen kompromittieren, während Verteidiger noch nicht einmal wussten, worauf sie achten sollten.”

Die Entdeckung basiert auf einer bemerkenswerten Quelle: Amazon-Forscher fanden einen fehlkonfigurierten Infrastruktur-Server, der als Staging-Bereich für Interlocks Operationen diente. Dort lagerten detaillierte Informationen über benutzerdefinierte Malware, Aufklärungsskripte, Evadierungstechniken und die Ransom-Note der Gruppe — alles notwendig, um die Cyberkriminellen eindeutig zu identifizieren.

Interlock ist für seine Affinität zu Zielen bekannt, die sich kurzfristige Ausfallzeiten nicht leisten können. Die Ransomware-Bande hat sich besonders auf lokale Behörden, Schulen und Gesundheitseinrichtungen konzentriert. Der Angriff auf die Stadt St. Paul 2024 war dermaßen verheerend, dass Minnesotas Gouverneur die Nationalgarde zur Unterstützung der Wiederherstellung mobilisieren musste. Ebenso führten Attacken auf das Dialyseunternehmen DaVita und ein großes Ohio-Gesundheitssystem zur Kompromittierung sensibler Daten von Millionen Menschen.

Nach Analysen von Amazon machen Bildungseinrichtungen den größten Anteil von Interlocks Aktivitäten aus. In den letzten sechs Monaten listete die Leak-Seite der Gruppe mehrere K-12-Schulen auf. Die zeitlichen Aktivitätsmuster deuten auf Akteure in der Zeitzone UTC+3 hin — eine Region, die Moskau und mehrere Länder des Nahen Ostens umfasst.

Besonders bemerkenswert ist, dass Interlock bei Angriffen nicht nur Malware-Tools, sondern auch legitime Sicherheitssoftware wie ConnectWise ScreenConnect, das Analyse-Tool Volatility und offensive Security-Produkte wie Certify nutzt. Dies erschwert die Erkennung erheblich.

Die FBI und andere US-Behörden berichten, dass Interlock im September 2024 entstand und seitdem kontinuierlich kritische Infrastrukturen in Nordamerika und Europa angreift. Sicherheitsanalytiker haben potenzielle Verbindungen zu Rhysida, einer anderen Ransomware-Operation mit Fokus auf Regierungseinrichtungen weltweit, identifiziert.

Ähnliche Artikel