{"id":291,"date":"2026-03-18T17:32:17","date_gmt":"2026-03-18T17:32:17","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/interlock-ransomware-explota-cisco-fmc-zero-day-cve-2026-20131-para-acceso-raiz-cyberdefensa-mx\/"},"modified":"2026-03-18T17:32:17","modified_gmt":"2026-03-18T17:32:17","slug":"interlock-ransomware-explota-cisco-fmc-zero-day-cve-2026-20131-para-acceso-raiz-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/interlock-ransomware-explota-cisco-fmc-zero-day-cve-2026-20131-para-acceso-raiz-cyberdefensa-mx\/","title":{"rendered":"Interlock Ransomware explota Cisco FMC Zero-Day CVE-2026-20131 para acceso ra\u00edz \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Amazon Threat Intelligence advierte sobre una campa\u00f1a activa de ransomware Interlock que explota una falla de seguridad cr\u00edtica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n es CVE-2026-20131 (puntuaci\u00f3n CVSS: 10.0), un caso de deserializaci\u00f3n insegura de un flujo de bytes Java proporcionado por el usuario, que podr\u00eda permitir a un atacante remoto no autenticado eludir la autenticaci\u00f3n y ejecutar c\u00f3digo Java arbitrario como root en un dispositivo afectado.<\/p>\n<p>Seg\u00fan datos obtenidos del gigante tecnol\u00f3gico <a href=\"https:\/\/aws.amazon.com\/blogs\/security\/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down\/\" rel=\"noopener\" target=\"_blank\">loco<\/a> <a href=\"https:\/\/aws.amazon.com\/blogs\/security\/real-time-malware-defense-leveraging-aws-network-firewall-active-threat-defense\/\" rel=\"noopener\" target=\"_blank\">red mundial de sensores<\/a>se dice que la falla de seguridad fue explotada como d\u00eda cero desde el 26 de enero de 2026, m\u00e1s de un mes antes de que Cisco la revelara p\u00fablicamente.<\/p>\n<p>\u00abEsto no era simplemente otro exploit de vulnerabilidad; Interlock ten\u00eda un d\u00eda cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigaci\u00f3n y proteger a los clientes\u00bb, dijo CJ Moses, director de seguridad de la informaci\u00f3n (CISO) de Amazon Integrated Security, en un <a href=\"https:\/\/aws.amazon.com\/blogs\/security\/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a trav\u00e9s de un servidor de infraestructura mal configurado, ofreciendo informaci\u00f3n sobre su cadena de ataque de m\u00faltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y t\u00e9cnicas de evasi\u00f3n.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La cadena de ataque implica el env\u00edo de solicitudes HTTP dise\u00f1adas a una ruta espec\u00edfica en el software afectado con el objetivo de ejecutar c\u00f3digo Java arbitrario, despu\u00e9s de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotaci\u00f3n exitosa. Una vez que se completa este paso, los comandos se env\u00edan para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.<\/p>\n<p>La lista de herramientas identificadas es la siguiente:<\/p>\n<ul>\n<li>Un script de reconocimiento de PowerShell que se utiliza para la enumeraci\u00f3n sistem\u00e1tica del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecuci\u00f3n, el software instalado, la configuraci\u00f3n de almacenamiento, el inventario de m\u00e1quinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticaci\u00f3n RDP de los registros de eventos de Windows.<\/li>\n<li>Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecuci\u00f3n de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. Tambi\u00e9n admite mecanismos de autoactualizaci\u00f3n y autoeliminaci\u00f3n para reemplazar o eliminar el artefacto sin tener que reinfectar la m\u00e1quina y desafiar la investigaci\u00f3n forense.<\/li>\n<li>Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos or\u00edgenes del atacante. El gui\u00f3n cumple <a href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-fail2ban-works-to-protect-services-on-a-linux-server\" rel=\"noopener\" target=\"_blank\">falla2ban<\/a>una herramienta de prevenci\u00f3n de intrusiones de Linux de c\u00f3digo abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenv\u00eda todo el tr\u00e1fico HTTP entrante a una direcci\u00f3n IP de destino codificada. Adem\u00e1s, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.<\/li>\n<li>Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de par\u00e1metros especialmente dise\u00f1ados que contengan cargas \u00fatiles de comandos cifradas, que luego se descifran y ejecutan.<\/li>\n<li>Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecuci\u00f3n exitosa del c\u00f3digo o confirme la accesibilidad del puerto de la red luego de la explotaci\u00f3n inicial.<\/li>\n<li>ConnectWise ScreenConnect para acceso remoto persistente y para servir como v\u00eda alternativa en caso de que se detecten y eliminen otros puntos de apoyo.<\/li>\n<li>Volatility Framework, un marco forense de memoria de c\u00f3digo abierto<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjwE-7Tcf-gSE50hqKch9-nMlqWNEb1XUrno26vA_C2FDvmxQGYQM0CyyAFRFpdmh_dZXJUmmbHGUtL4GGxwBs6YbuPKIV15XT2ScKvmeo-Q-isQ_m3ax7j_8Jdg6Ha4F1RanxwzUw_Q1l-MNrytsB03IgT4P1wpFPX3eIAGwywCTujvDJTZk-MQPC9Ga0e\/s1700-e365\/inter.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjwE-7Tcf-gSE50hqKch9-nMlqWNEb1XUrno26vA_C2FDvmxQGYQM0CyyAFRFpdmh_dZXJUmmbHGUtL4GGxwBs6YbuPKIV15XT2ScKvmeo-Q-isQ_m3ax7j_8Jdg6Ha4F1RanxwzUw_Q1l-MNrytsB03IgT4P1wpFPX3eIAGwywCTujvDJTZk-MQPC9Ga0e\/s1700-e365\/inter.jpg\" alt=\"\" border=\"0\" data-original-height=\"491\" data-original-width=\"1368\"\/><\/a><\/div>\n<p>Los enlaces a Interlock surgen de indicadores t\u00e9cnicos y operativos \u00abconvergentes\u00bb, incluida la nota de rescate integrada y el portal de negociaci\u00f3n TOR. La evidencia muestra que el actor de amenazas probablemente est\u00e9 operativo durante la zona horaria UTC+3.<\/p>\n<p>A la luz de la explotaci\u00f3n activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.<\/p>\n<p>\u00abLa verdadera historia aqu\u00ed no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desaf\u00edo fundamental que los exploits de d\u00eda cero plantean para cada modelo de seguridad\u00bb, dijo Moses. \u00abCuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo m\u00e1s diligentes pueden protegerte en esa ventana cr\u00edtica\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/cyber-comm-guide-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEigDbfWwE4P_DsjfBRxgecgosqTRr8-2j328LrzdUBWrWmWeDUTI7OhXc-zXveYOjBc7GStGz5WnpXsJGaLCuoryIXbL7NxRyaWzIJGO1TBpd48NkYzNqTMj9zWMzgfvqh20RxsdMll45TFiMzXja0pAd7roFjMnzsRYBGHOWSLnyKN-oMKyCLoYcjmb5hm\/s728-e100\/ciso-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEsta es precisamente la raz\u00f3n por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protecci\u00f3n cuando un solo control falla o a\u00fan no se ha implementado. La aplicaci\u00f3n r\u00e1pida de parches sigue siendo fundamental en la gesti\u00f3n de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el per\u00edodo entre el exploit y el parche\u00bb.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Google revel\u00f3 que los actores del ransomware est\u00e1n cambiando sus t\u00e1cticas en respuesta a la disminuci\u00f3n de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoy\u00e1ndose menos en herramientas externas y m\u00e1s en las capacidades integradas de Windows.<\/p>\n<p>Tambi\u00e9n se ha descubierto que m\u00faltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean t\u00e1cticas de publicidad maliciosa y\/o optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para distribuir cargas \u00fatiles de malware para el acceso inicial. Otras t\u00e9cnicas com\u00fanmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto leg\u00edtimo para establecer un punto de apoyo, as\u00ed como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.<\/p>\n<p>\u00abSi bien anticipamos que el ransomware seguir\u00e1 siendo una de las amenazas m\u00e1s dominantes a nivel mundial, la reducci\u00f3n de las ganancias puede hacer que algunos actores de amenazas busquen otros m\u00e9todos de monetizaci\u00f3n\u00bb, dijo Google. \u00abEsto podr\u00eda manifestarse como un aumento de las operaciones de extorsi\u00f3n por robo de datos, el uso de t\u00e1cticas de extorsi\u00f3n m\u00e1s agresivas o el uso oportunista de acceso a los entornos de las v\u00edctimas para mecanismos secundarios de monetizaci\u00f3n, como el uso de infraestructura comprometida para enviar mensajes de phishing\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Amazon Threat Intelligence advierte sobre una campa\u00f1a activa de ransomware Interlock que explota una falla de seguridad cr\u00edtica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC). La vulnerabilidad en cuesti\u00f3n es CVE-2026-20131 (puntuaci\u00f3n CVSS: 10.0), un caso de deserializaci\u00f3n insegura de un flujo de bytes Java proporcionado por el usuario, que podr\u00eda [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[68,62,1021,24,851,1020,1019,36,860,508,64],"class_list":["post-291","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-acceso","tag-cisco","tag-cve202620131","tag-cyberdefensa-mx","tag-explota","tag-fmc","tag-interlock","tag-para","tag-raiz","tag-ransomware","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/291","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=291"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/291\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}