Die Interlock-Ransomware-Gruppe hat sich als äußerst zielgerichtet und gut organisiert erwiesen. Das Besondere an diesem Fall: Threat Actors hatten bereits seit dem 26. Januar Zugriff auf die kritische Sicherheitslücke, bevor Cisco diese am 4. März öffentlich machte. Dieser Zeitvorteil ist für Cyberkriminelle von unschätzbarem Wert – ein echtes Zero-Day-Szenario, in dem traditionelle Sicherheitsmaßnahmen versagen.
Die Schwachstelle selbst entsteht durch unsicheres Deserialisieren von Java-Objekten. Ein Angreifer sendet einfach ein manipuliertes serialisiertes Java-Objekt an die Web-Verwaltungsoberfläche – ohne sich authentifizieren zu müssen. Das Ergebnis: Vollediger Zugriff auf das System mit Rootrechten.
Was die Gefahr zusätzlich verschärft: Interlock nutzt eine mehrstufige Angriffskette, die Amazon-Forscher durch eine misconfigurierte Infrastruktur des Angreifer-Servers analysieren konnten. Das operative Arsenal umfasst PowerShell-Skripte zur Windows-Umgebungserkennung, spezialisierte Remote-Access-Trojaner, Netzwerk-Aufklärungstools und Evasions-Techniken. Besonders raffiniert: Die Angreifer nutzen mehrere Backdoor-Varianten (JavaScript und Java-basiert), um selbst bei Entdeckung einer Variante die Kontrolle zu behalten.
Die Angreifer errichten ein “Disposable Relay Network” (Bash-Skript), um ihre echte Position zu verschleiern, und greifen auf legitime Remote-Access-Tools zurück, um Backup-Kanäle zu schaffen. Dies zeigt ein hohes Maß an Professionalität und Planung.
Wie kritisch ist das für Deutschland? Sehr. Firewalls sind Internet-facing Geräte, die immer erreichbar sind. Sie sind gleichzeitig Gateway zum gesamten Netzwerk – der ideale Einstiegspunkt für Lateralbewegungen. Hinzu kommt: Viele Organisationen unterschätzen die Wartung dieser Mission-Critical-Systeme.
Der Incident Response-Experte Jeff Liford berichtet, dass Firewall-Kompromittierungen 2025 häufig als initiale Entry Points bei Ransomware-Angriffen fungiert haben. Das Problem ist strukturell: Firewall-Hersteller wie Cisco, Ivanti, SonicWall und Fortinet patchen ständig kritische Lücken. Im ersten Halbjahr 2025 machten Edge-Security-Geräte 17 Prozent aller von Angreifern exploitierten Vulnerabilities aus.
Deutsche Unternehmen müssen sofort handeln: Cisco Secure FMC Software in ungepatschten Versionen updaten. Die SaaS-Variante (Security Cloud Control) wird automatisch aktualisiert, ist also weniger problematisch. ASA- und FTD-Software sind nicht betroffen. Der Cisco Software Checker hilft bei der Risikoanalyse.
Amazons Veröffentlichung von Indikatoren und Detektionsmechanismen ist für Sicherheitsteams ein Glücksfall – eine seltene Transparenz in solch sensiblen Fällen, die zum Schutz vor künftigen Angriffen beiträgt.