【安全资讯】Interlock勒索软件团伙在漏洞披露前数周利用思科防火墙零日漏洞

概要：

在网络安全攻防战中，零日漏洞的利用往往意味着攻击者掌握了先发制人的绝对优势。近期，臭名昭著的Interlock勒索软件团伙被曝在思科（Cisco）公开披露一个关键防火墙漏洞前数周，就已利用该零日漏洞发起攻击，突显了高级持续性威胁（APT）对关键基础设施构成的严峻挑战。

主要内容：

亚马逊综合安全部门首席信息安全官CJ Moses发布报告指出，Interlock团伙利用了编号为CVE-2026-20131的思科安全防火墙管理中心（Secure Firewall Management Center）软件漏洞。该漏洞于3月4日被公开披露，但攻击活动实际上始于1月26日，这意味着攻击者拥有近一个月的“零日窗口期”，能在防御者知晓威胁前渗透目标网络。

亚马逊安全研究人员通过发现Interlock一个配置错误的服务器，获取了其攻击活动的关键信息。该服务器作为攻击的“集结区”，存储了大量定制化恶意软件、侦察脚本和规避技术。研究人员还发现了该团伙的勒索信和谈判门户，从而确认了攻击归属。勒索信内容显示，Interlock不仅加密数据，还惯于援引数据保护法规来威胁受害者，以增加其支付赎金的压力。

该团伙历来偏好攻击难以承受业务中断的机构，如地方政府、学校和医疗系统。报告提及，其对美国明尼苏达州圣保罗市的攻击导致该市数周难以恢复，甚至需要调动国民警卫队协助。此外，其对透析服务公司DaVita及俄亥俄州大型医疗系统的攻击，导致数百万患者的敏感健康信息泄露。教育机构是其最主要的攻击目标。

技术细节显示，攻击者常在东三区（UTC+3，覆盖莫斯科及部分中东国家）时间活动，并在攻击中混合使用ConnectWise ScreenConnect、Volatility、Certify等合法安全工具以掩盖行踪。美国联邦调查局（FBI）此前评估认为，Interlock与另一个以攻击政府闻名的勒索软件组织Rhysida存在潜在关联。此次事件再次警示，零日漏洞的利用正使传统基于补丁的防御模型面临根本性挑战。