Interlock 勒索软件利用 Cisco FMC 零日漏洞在全球发动攻击

ARTICLE TITLE: Interlock 勒索软件利用 Cisco FMC 零日漏洞在全球攻击中

ARTICLE BODY:

执行摘要

根据 Recorded Future 的 Insikt Group 分析，Interlock 勒索软件团伙正在积极利用 Cisco Firepower Management Center (FMC) 中的一个零日漏洞来获得对目标网络的初始访问权限。这一活动是作为更广泛的 2026 年 3 月漏洞景观报告的一部分被识别出来的，该报告记录了需要立即补救的高影响漏洞每月增加了 139%，从 2 月的 13 个增加到 3 月的 31 个。

技术分析

Recorded Future 的研究表明，威胁行为者，特别是 Interlock 勒索软件行动，正在利用 Cisco FMC 软件中的一个未修补的缺陷。公共摘要中没有详细说明漏洞的确切机制，但其被归类为零日表明它在供应商提供补丁之前就被利用了。Firepower Management Center 是管理 Cisco 下一代防火墙的中央控制台，其被入侵可能会为攻击者提供深入的网络可见性和控制权。报告没有具体说明 Cisco 是否已经发布了补丁或为这个缺陷分配了 CVE ID。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

识别出的主要 TTP 是利用面向公众的应用程序漏洞（可能对应于 MITRE ATT&CK 技术 T1190）来获得初始访问权限。通过针对 Cisco FMC，行为者旨在绕过外围安全控制。随后部署 Interlock 勒索软件表明了后续技术用于横向移动、权限提升和数据加密。

威胁行为者背景

威胁行为者被识别为 Interlock 勒索软件团伙。源材料没有提供关于该团伙的起源、典型目标或勒索策略的进一步细节。截至 2026 年初，该团伙的名称与广泛报道的勒索软件行动不对应，表明它可能是一个较新或重新命名的实体。其选择利用网络安全设备零日漏洞表明了对企业环境的关注以及快速武器化高价值漏洞的能力。

缓解措施与建议

使用 Cisco Firepower Management Center 的组织应立即查阅 Cisco 的安全通告，以获取最新的补丁和更新。作为一个关键的网络管理组件，FMC 不应直接暴露在互联网上。如果需要面向互联网的访问，则必须用严格的访问控制、多因素认证保护，并置于 VPN 后面。建议对源自或针对 FMC 设备的异常活动进行网络监控。Recorded Future 基于高影响漏洞激增的更广泛建议是，根据积极利用和对业务的关键性优先补救漏洞，而不是仅依赖于 CVSS 评分。