Uma campanha ativa de ransomware está explorando uma vulnerabilidade crítica de dia zero em soluções da Cisco, elevando o nível de alerta no cenário global de cibersegurança. O grupo por trás do ransomware Interlock está utilizando a falha CVE-2026-20131, que afeta o Cisco Secure Firewall Management Center (FMC), para obter acesso root remoto sem autenticação.

A vulnerabilidade, classificada com pontuação máxima CVSS 10.0, envolve um problema de desserialização insegura de dados Java, permitindo que hackers executem código arbitrário diretamente no sistema afetado. Na prática, isso significa que um invasor pode comprometer totalmente o dispositivo sem precisar de credenciais ou interação do usuário.

De acordo com análises da Amazon Threat Intelligence, a falha já vinha sendo explorada como zero-day desde 26 de janeiro de 2026, mais de um mês antes de sua divulgação oficial pela Cisco. Esse fator deu aos atacantes uma vantagem significativa, permitindo comprometer organizações antes mesmo que medidas de defesa pudessem ser aplicadas.

A descoberta foi possível após uma falha operacional do próprio grupo hacker, que expôs parte de sua infraestrutura. Isso permitiu identificar detalhes do arsenal utilizado, incluindo trojans personalizados, scripts de reconhecimento e técnicas avançadas de evasão.

O ataque começa com o envio de requisições HTTP maliciosas para um endpoint específico do FMC, permitindo a execução de código Java. Após a exploração bem-sucedida, o sistema comprometido envia uma requisição para um servidor externo confirmando o acesso, e em seguida baixa um binário ELF que inicia as próximas fases do ataque.

Entre as ferramentas identificadas na operação estão:

• Script PowerShell para reconhecimento detalhado de ambientes Windows

• Trojans de acesso remoto (RATs) desenvolvidos em Java e JavaScript

• Scripts Bash para transformar servidores Linux em proxies reversos e ocultar a origem dos ataques

• Webshells em memória para execução remota de comandos

• Beacon de rede para comunicação com servidores de comando e controle

• Uso do ConnectWise ScreenConnect para persistência e acesso remoto

• Ferramentas de análise de memória como o Volatility Framework

Esses recursos permitem aos hackers realizar movimentação lateral, exfiltração de dados e manutenção de acesso persistente, dificultando a detecção e resposta por parte das equipes de segurança.

A análise também indica que o grupo Interlock opera provavelmente em um fuso horário UTC+3, e utiliza infraestrutura baseada em TOR para negociação de resgates, reforçando seu perfil como uma operação estruturada de ransomware.

Diante da exploração ativa, a recomendação é que organizações apliquem imediatamente as correções disponibilizadas pela Cisco, realizem varreduras para identificar possíveis comprometimentos e revisem instalações suspeitas de ferramentas de acesso remoto como o ScreenConnect.

O caso evidencia um desafio crítico da segurança moderna: o impacto dos ataques que exploram vulnerabilidades antes da existência de correções. Mesmo organizações com programas maduros de gestão de vulnerabilidades podem ficar expostas nesse intervalo.

Além disso, o cenário atual mostra uma mudança nas estratégias de ransomware. Com a redução nas taxas de pagamento, grupos hackers estão explorando mais vulnerabilidades em dispositivos de borda, como VPNs e firewalls, e utilizando ferramentas legítimas já presentes nos sistemas para evitar detecção.

Esse movimento indica uma evolução no modelo de ataque, com foco não apenas em criptografia de dados, mas também em extorsão baseada em roubo de informações e uso secundário de acessos comprometidos, como envio de campanhas de phishing a partir de infraestruturas invadidas.