Киберпрестъпната група Interlock е провеждала целенасочени атаки чрез zero-day уязвимост в решения на Cisco, като е експлоатирала критичен пропуск в Secure Firewall Management Center (FMC) още преди той да бъде публично разкрит и коригиран.

Уязвимостта – пълен контрол чрез RCE

Става въпрос за уязвимостта:

• CVE-2026-20131

Тя позволява:

• Remote Code Execution (RCE)

• Изпълнение на Java код като root потребител

• Атаки без необходимост от автентикация

С други думи – пълен дистанционен контрол върху засегнатите системи.

Таймингът – 36 дни невидима заплаха

Според анализ на Amazon:

• Атаките са започнали на 26 януари 2026 г.

• Уязвимостта е публично разкрита на 4 март 2026 г.

• Това дава на нападателите 36 дни предимство

Този прозорец е критичен – организациите са били уязвими без да знаят.

Как действа Interlock

Групата, активна от септември 2024 г., е известна с:

• Ransomware атаки срещу корпоративни и публични организации

• Използване на ClickFix техники

• Разпространение на троянския кон NodeSnake

Нови данни показват и внедряване на:

• Slopoly – нов зловреден софтуер, вероятно създаден с помощта на ИИ

Реални жертви и обхват

Interlock поема отговорност за атаки срещу:

• DaVita

• Kettering Health

• Texas Tech University System

• град Сейнт Пол, Минесота

Това показва ясeн фокус върху критична инфраструктура, здравеопазване и образователни институции.

Анализ – защо този случай е особено опасен

Този инцидент комбинира няколко високорискови фактора:

1. Zero-day експлоатация

Атаката се извършва преди наличието на пач или защитни механизми.

2. Критична инфраструктура

Firewall системите са първата линия на защита – компрометирането им отваря цялата мрежа.

3. Без автентикация

Липсата на нужда от достъп прави атаката лесно мащабируема и автоматизируема.

4. Индустриализация на атаките

Използването на ИИ за разработка на malware (Slopoly) показва ускорена еволюция на заплахите.

Cерия от zero-day проблеми в Cisco

От началото на 2026 г. Cisco адресира няколко критични уязвимости:

• Zero-day в AsyncOS (имейл сигурност)

• RCE в Unified Communications

• Уязвимост в Catalyst SD-WAN за заобикаляне на автентикация

Тенденцията е ясна – мрежовата инфраструктура е под системен натиск от целенасочени атаки.

Какво трябва да направят организациите

Незабавни мерки

• Ъпдейт на Cisco FMC до последната версия

• Проверка за компрометирани устройства

• Анализ на логове за подозрителна активност

Стратегически действия

• Zero Trust архитектура

• Сегментация на мрежата

• Непрекъснат мониторинг (NDR/XDR)

• Threat Intelligence интеграция

0-day вече е стандарт

Случаят с Interlock показва нова реалност – нападателите не чакат уязвимостите да станат публични – те ги използват предварително.

Това променя правилата на играта:

• Реактивната сигурност вече не е достатъчна

• Проактивното откриване и анализ са задължителни

• Времето за реакция се измерва в дни, а не в седмици