Groot lek in Cisco-firewalls ontdekt
Amazon’s Threat Intelligence-team heeft een omvangrijke ransomware-campagne van de Interlock-groep blootgelegd. De aanvallers maakten gebruik van een kritiek lek in de beheeromgeving van Cisco-firewalls. Schokkend detail: de hackers hadden al 36 dagen vóór de officiële bekendmaking toegang tot dit 'zero-day' lek, waardoor zij een enorme voorsprong hadden op beveiligers.
Het lek (CVE-2026-20131) bevindt zich in de Cisco Secure Firewall Management Center (FMC)-software. Hiermee kunnen aanvallers op afstand en zonder inloggegevens kwaadaardige code uitvoeren met de hoogste rechten (root). Amazon ontdekte de activiteit via hun 'MadPot'-netwerk, een wereldwijd systeem van lokservers (honeypots). Uit data blijkt dat Interlock al op 26 januari 2026 begon met het exploiteren van het lek, terwijl Cisco het pas op 4 maart publiekelijk maakte.
De fout van de aanvaller
De doorbraak in het onderzoek kwam door een zeldzame fout van de hackers: een van hun eigen servers was verkeerd geconfigureerd. Hierdoor kregen de onderzoekers van Amazon volledig zicht op de 'gereedschapskist' van Interlock. Deze bevatte onder meer:
- Geavanceerde verkenningsscripts: Tools die razendsnel het volledige netwerk van een slachtoffer in kaart brengen, inclusief back-ups en browserwachtwoorden.
- Dubbele backdoors: Interlock installeerde vaak twee verschillende programma’s voor toegang op afstand (één in JavaScript en één in Java). Als de beveiliging er één vond, hielden de hackers via de andere alsnog toegang.
- Bewijsvernietiging: Een speciaal script wiste elke vijf minuten alle logbestanden op besmette systemen om forensisch onderzoek te dwarsbomen.
Psychologische oorlogsvoering
Interlock staat bekend om een agressieve methode van afpersing. In de losgeldnotities dreigen ze niet alleen met het versleutelen van bestanden, maar citeren ze specifiek privacywetgeving (zoals de AVG/GDPR). Ze dreigen de slachtoffers met enorme boetes van toezichthouders als het datalek bekend wordt, om zo de druk om te betalen te verhogen. De groep richt zich specifiek op de sectoren onderwijs, gezondheidszorg en overheid.
Advies aan organisaties
Amazon benadrukt dat hun eigen AWS-infrastructuur niet is getroffen, maar waarschuwt alle bedrijven die gebruikmaken van Cisco Secure Firewall. "Dit was geen gewone aanval; Interlock had een week voorsprong voordat verdedigers überhaupt wisten waar ze naar moesten zoeken," aldus de verklaring.
Wat u nu moet doen:
- Installeer onmiddellijk de beveiligingspatches van Cisco voor de FMC-software.
- Controleer netwerklogs op verdachte HTTP-verzoeken naar ongebruikelijke paden.
- Zoek naar de aanwezigheid van legitieme tools die misbruikt worden, zoals ConnectWise ScreenConnect of Certify, op plekken waar deze niet thuishoren.
