Récemment, les équipes de renseignement sur les menaces d'Amazon ont alerté sur une campagne active de Ransomware liée au groupe connu sous le nom d'Interlock qui profite d'une défaillance critique dans le logiciel Cisco Secure Firewall Management Center (FMC). Selon le rapport d'Amazon, la vulnérabilité identifiée comme CVE-2026-20131 - qualifiée avec un score maximum dans le système CVSS selon ce rapport - est un cas de désactivation dangereuse des flux d'octets Java fournis par l'utilisateur qui permettrait à un attaquant distant et non authentifié d'échapper aux contrôles et d'exécuter un code Java arbitraire avec des privilèges root sur les appareils touchés. Pour comprendre pourquoi cela est dangereux n'est pas suffisant avec le nombre: l'effacement de sécurité est une façon qui a été exploitée à plusieurs reprises pour obtenir l'exécution à distance lorsque les applications acceptent des données sérielles sans les valider correctement; la communauté de sécurité a mis en garde sur ce type de risque depuis des années ( OWASP - Désactivation non sécurisée).
Ce qui rend cet incident particulièrement inquiétant, c'est que, selon Amazon, l'exploitation a commencé en mode zéro jour plusieurs semaines avant que Cisco rende publique la vulnérabilité. La détection est venue de capteurs mondiaux qu'Amazon opère pour la surveillance des menaces, et après avoir confirmé l'activité malveillante, ils ont partagé des conclusions avec Cisco pour aider dans l'enquête. Lorsqu'une vulnérabilité est exploitée avant qu'un patch ne soit publié, les organisations deviennent vulnérables pendant cette période critique même s'ils appliquent habituellement des mises à jour rapidement.
La chaîne d'attaque décrite par Amazon commence par des requêtes HTTP spécialement faites visant une route FMC spécifique, visant à provoquer une désérialisation malveillante et ainsi exécuter le code Java. Après cette première étape, le périphérique compromis fait une requête HTTP PUT à un serveur externe comme confirmation de l'opération, puis télécharge et exécute un binaire ELF qui agit comme passerelle pour d'autres outils utilisés par l'acteur attaquant. Amazon précise que, en raison d'une erreur opérationnelle du groupe criminel lui-même, une partie de son infrastructure et de ses outils a été exposée sur un serveur mal configuré, permettant aux chercheurs de reconstruire un flux d'attaque très complet et de cataloguer des artefacts et des techniques.
Les outils assignés à la campagne comprennent des scripts de reconnaissance PowerShell à la recherche d'informations complètes sur l'environnement Windows, des implants d'accès à distance écrits en Java et JavaScript avec les capacités de proxy SOCKS5 et le transfert de fichiers, des scripts Bash pour préparer les serveurs Linux comme des proxys inversés et supprimer les traces, un shell web basé sur la mémoire qui défigure et exécute les commandes reçues dans les requêtes HTTP, et une petite balise réseau pour vérifier la disponibilité de l'infrastructure contrôlée par l'attaquant. L'utilisation de ConnectWise ScreenConnect pour maintenir un accès persistant dans des environnements compromis est également mentionnée. La combinaison d'artefacts montre un modèle d'intrusion complet : accès initial, téléchargement d'outils, reconnaissance, établissement de canaux de contrôle et mesures pour cacher et maintenir la présence.
Les preuves judiciaires et les indicateurs techniques, y compris une note de sauvetage et un portail sur le réseau Tor, permettent à Amazon de relier l'opération à Interlock. L'analyse opérationnelle suggère également que les opérateurs étaient actifs dans un intervalle de temps correspondant à l'ardoise UTC + 3, un détail qui aide à façonner leur routine et à corréler leur activité dans les registres de réseau et de système.
Cet épisode s'inscrit dans le cadre de changements plus larges qui observent plusieurs équipes de renseignement : alors que les taux de paiement des sauvetages tombent, de nombreux groupes ont modifié leurs tactiques pour prioriser l'accès par des vulnérabilités dans les appareils réseau et les logiciels d'accès à distance, ou pour exploiter les justificatifs volés et les outils légitimes déjà installés sur les réseaux. Le résultat est une plus grande préférence pour les vecteurs qui permettent un accès initial fiable et pour les techniques qui rendent le suivi et l'attribution difficile, plutôt que de compter exclusivement sur des logiciels malveillants « externes ». Afin de garder un œil sur les changements dans le paysage de la menace, il y a des publications des agences de sécurité et des entreprises qui suivent ces tendances, comme les recommandations de la CISA sur Ransomware ( CISA - Stop Ransomware) ou l'analyse des fournisseurs de sécurité.
Que peuvent et devraient faire les organisations maintenant? Premièrement, appliquer les correctifs et les mesures d'atténuation publiés par le fournisseur pour le Cisco FMC dès qu'ils sont disponibles et vérifier les versions dans leur environnement. Parallèlement, il est prudent de procéder à des évaluations des engagements qui comprennent la recherche d'indicateurs d'exploitation dans les dossiers de réseau et d'application, la révision des outils d'accès à distance comme ScreenConnect pour détecter les déploiements non autorisés et l'analyse de l'intégrité des systèmes qui peuvent avoir téléchargé du code binaire ou étranger. Une défense efficace nécessite une stratégie de couche: patching rapide, segmentation du réseau, contrôles d'évacuation, détection des paramètres et surveillance continue du log.
Il est également nécessaire de renforcer les contrôles opérationnels qui limitent l'impact d'une intrusion : appliquer le principe des privilèges minimaux, protéger les pouvoirs avec authentification multifactorielle, vérifier l'accès administratif et permettre des mécanismes de surveillance qui alertent à un comportement anormal, comme les connexions sortantes à des serveurs ou des processus inhabituels qui effectuent des téléchargements binaires. Pour atténuer les techniques spécifiques utilisées par les attaquants, des outils tels que fail2ban peuvent aider à durcir les services exposés et à réduire le bruit provenant de l'accès automatisé ( tutoriel sur l'échec), alors que l'utilisation de solutions de mémoire et d'analyse médico-légale peut être essentielle pour détecter les shells web résidant en RAM; des projets tels que la Volatiilité sont une référence dans ce domaine ( Fondation pour la volatilité).
La leçon plus large que ce cas laisse n'est pas nouvelle, mais il est urgent: zéro- jour-type lacunes sont la partie la plus difficile de la défense, parce qu'ils apparaissent avant les correctifs ou les signatures existent et réduisent l'efficacité des programmes de mise à jour bien gérés. Alors, Avoir plusieurs couches de protection et des capacités de détection et de réponse rapides est ce qui permet à une organisation de gagner du temps et de minimiser les dommages de fenêtre entre l'opération initiale et la correction finale. Les équipes de sécurité et les dirigeants des TI devraient prendre cet incident comme un rappel pour valider leurs procédures d'intervention, pratiquer des scénarios d'engagement sur les appareils de bord et prioriser la visibilité et la segmentation dans les architectures critiques.
Enfin, le partage d'informations avec des tiers et le fournisseur vulnérable était crucial dans ce cas: la collaboration entre les détecteurs et le fabricant a accéléré la réponse collective. Dans un environnement où les attaquants adaptent constamment leurs méthodes, la coopération, l'échange d'indicateurs et le suivi des bulletins officiels sont des éléments essentiels pour protéger les infrastructures essentielles.
Pour ceux qui veulent approfondir les détails techniques et les recommandations complètes, le rapport d'Amazon Threat Intelligence sur cette campagne propose une analyse détaillée et peut être consulté sur le blog de sécurité AWS ( Amazon Threat Intelligence - rapport) tandis que les guides de bonnes pratiques de l'agence tels que CISA offrent des étapes pratiques pour la préparation et la réponse de Ransomware ( CISA - Stop Ransomware).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...