Recentemente, equipes de inteligência de ameaças da Amazon alertaram sobre uma campanha ativa de ransomware ligada ao grupo conhecido como Interlock que está aproveitando uma falha crítica no software Cisco Secure Firewall Management Center (FMC). De acordo com o relatório da Amazon, a vulnerabilidade identificada como CVE-2026-20131 (classificada com uma pontuação máxima no sistema CVSS segundo esse relatório) é um caso de deserialização insegura de fluxos de bytes Java fornecidos pelo usuário que permitiria a um atacante remoto e não autenticado evadir controles e executar código Java arbitrário com privilégios de root em dispositivos afetados. Para entender por que isso é perigoso não basta com o número: a deserialização insegura é uma via que tem sido explorada repetidamente para obter execução remota quando as aplicações aceitam dados serializados sem validar corretamente; a comunidade de segurança há anos alertando sobre este tipo de riscos ( OWASP — Insecure Deserialization).
O que torna este incidente particularmente preocupante é que, segundo a Amazon, a exploração começou em modo zero-day várias semanas antes de a Cisco ter tornado pública a vulnerabilidade. A detecção veio de sensores globais que a Amazon opera para monitoramento de ameaças, e após confirmar atividade maliciosa compartilharam achados com a Cisco para ajudar na pesquisa. Quando uma vulnerabilidade é explorada antes de existir um adesivo publicado, as organizações ficam vulneráveis durante esse período crítico, mesmo que normalmente apliquem atualizações rapidamente.
A cadeia de ataque descrita pela Amazon começa com pedidos HTTP especialmente confeccionadas para uma rota específica do FMC, destinadas a provocar a deserialização maliciosa e assim executar código Java. Após essa primeira etapa, o dispositivo comprometido realiza um pedido HTTP PUT a um servidor externo como confirmação da exploração, e posteriormente descarga e executa um binário ELF que atua como porta de entrada para outras ferramentas utilizadas pelo ator atacante. A Amazon detalha ainda que, por um erro operacional do próprio grupo criminoso, ficou exposto parte de sua infraestrutura e ferramentas em um servidor mal configurado, o que permitiu aos pesquisadores reconstruir um fluxo de ataque muito completo e catalogar artefatos e técnicas.
Entre as ferramentas atribuídas à campanha aparecem programas de reconhecimento em PowerShell que buscam informações exaustivas do ambiente Windows, implantes de acesso remoto escritos em Java e JavaScript com capacidades de proxy SOCKS5 e transferência de arquivos, scripts em Bash para preparar servidores Linux como proxies reversos e remover rastros, um web shell residente em memória que decifra e executa comandos recebidos em pedidos de HTTP, e um pequeno beacon de rede para verificar a disponibilidade de infraestrutura controlada pelo atacante. Também é mencionado o uso do ConnectWise ScreenConnect para manter acesso persistente em ambientes comprometidos. A combinação de artefatos mostra um padrão de intrusão completo: acesso inicial, descarga de ferramentas, reconhecimento, estabelecimento de canais de controle e medidas para ocultar e manter a presença.
As evidências forenses e os indicadores técnicos, entre eles uma nota de resgate e um portal na rede Tor, permitem à Amazon ligar a operação com o Interlock. A análise operacional sugere ainda que os operadores estavam ativos em uma faixa horária correspondente ao fuso UTC+3, um detalhe que ajuda a perfilar sua rotina e a correlacionar atividade em registros de rede e sistemas.
Este episódio encaixa com mudanças mais amplas que estão observando vários equipamentos de inteligência: conforme as taxas de pagamento de resgates caem, muitos grupos modificaram táticas para priorizar o acesso através de vulnerabilidades em dispositivos de rede e software de acesso remoto, ou para explorar credenciais roubadas e ferramentas legítimas já instaladas nas redes. O resultado é uma maior preferência por vetores que permitam acesso inicial confiável e por técnicas que dificultem o rastreamento e a atribuição, em vez de depender exclusivamente de malware “externo”. Para manter-se atento às mudanças no panorama de ameaças, podem ser consultadas publicações de agências e empresas de segurança que seguem estas tendências, como as recomendações da CISA sobre ransomware ( CISA — Stop Ransomware) ou análise de fornecedores de segurança.
O que podem e devem fazer as organizações agora? Em primeiro lugar, aplicar os adesivos e mitigações publicados pelo fornecedor para o FMC da Cisco logo que estejam disponíveis e verificar versões em seus ambientes. Em paralelo, é prudente realizar avaliações de compromisso que incluam busca de indicadores de exploração em registros de rede e de aplicação, revisão de instalações de ferramentas de acesso remoto como ScreenConnect para detectar implantaçãos não autorizadas, e análise de integridade de sistemas que possam ter baixado binários ou executado código estranho. A defesa eficaz exige uma estratégia em camadas: adesivo rápido, segmentação de rede, controles de egress, detecção em endpoints e monitoramento contínuo de logs.
Também é conveniente reforçar controlos operacionais que limitam o impacto de uma intrusão: aplicar o princípio de mínimos privilégios, proteger credenciais com autenticação multifator, auditar acessos administrativos e habilitar mecanismos de monitorização que alertem sobre comportamentos anormais, como conexões salientes a servidores não habituais ou processos que realizam downloads de binários. Para mitigar técnicas específicas usadas por atacantes, ferramentas como fail2ban podem ajudar a endurecer serviços expostos e reduzir ruídos de acesso automatizados ( tutorial sobre fail2ban), enquanto o uso de soluções de análise de memória e forense pode ser chave para detectar web shells residentes em RAM; projetos como Volatility são uma referência neste campo ( Volatility Foundation).
A lição mais ampla que deixa este caso não é nova, mas sim urgente: as lacunas do tipo zero-day são a parte mais difícil da defesa, porque aparecem antes de existirem adesivos ou assinaturas e reduzem a eficácia de programas de atualização bem administrados. Por isso, Ter múltiplas camadas de proteção e capacidades de detecção e resposta rápida é o que permite a uma organização ganhar tempo e minimizar danos durante a janela entre a exploração inicial e a correção definitiva. Equipamentos de segurança e líderes de TI devem tomar este incidente como lembrete para validar seus procedimentos de resposta, praticar cenários de compromisso em dispositivos de borda e priorizar visibilidade e segmentação em arquiteturas críticas.
Finalmente, compartilhar informações com terceiros e com o fornecedor vulnerável foi decisivo neste caso: a colaboração entre detectores e o fabricante acelerou a resposta coletiva. Num ambiente em que os atacantes ajustam constantemente os seus métodos, a cooperação, o intercâmbio de indicadores e o acompanhamento de boletins oficiais são componentes essenciais para proteger infra-estruturas críticas.
Para quem quiser aprofundar os detalhes técnicos e as recomendações completas, o relatório da Amazon Threat Intelligence sobre esta campanha oferece uma análise detalhada e pode ser consultado no blog de segurança da AWS ( Amazon Threat Intelligence — relatório), enquanto os guias de boas práticas de agências como a CISA oferecem passos práticos para preparação e resposta ao ransomware ( CISA — Stop Ransomware).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...