亞馬遜威脅情報部門發出警告，Interlock勒索軟體正在發起一場活躍的活動，該活動利用了思科安全防火牆管理中心 (FMC) 軟體中最近披露的一個嚴重安全漏洞。該漏洞為CVE-2026-20131（CVSS 評分：10.0），這是一個用戶提供的 Java 位元組流反序列化不安全的案例，這可能允許未經身份驗證的遠端攻擊者繞過身份驗證，並在受影響的裝置上以 root 身份執行任意 Java 程式碼。

根據從這家科技巨頭的MadPot 全球感測器網路收集到的數據，據說該安全漏洞自 2026 年 1 月 26 日起就被用作零日漏洞利用，比思科公開披露的時間早了一個多月。

亞馬遜集成安全首席信息安全官 (CISO) CJ Moses 在一份發給 The Hacker News 的報告中表示：「這不僅僅是另一個漏洞利用；Interlock 掌握了一個零日漏洞，讓他們在防御者甚至還沒意識到問題之前，就搶先一周時間攻破了企業系統。發現這一漏洞後，我們立即與思科分享了我們的調查結果，以協助他們的調查並保護客戶。」

鑑於該漏洞已被積極利用，建議用戶盡快應用補丁，進行安全評估以識別潛在的安全漏洞，檢查 ScreenConnect 部署是否存在未經授權的安裝，並實施縱深防禦策略。CJ Moses說：「真正的問題不僅僅在於某個漏洞或某個勒索軟體組織，而是零日漏洞對所有安全模型構成的根本性挑戰。當攻擊者在補丁發布之前利用漏洞時，即使是最盡職的補丁程式也無法在那關鍵時期保護你。」

谷歌披露，由於贖金支付率下降，勒索軟體攻擊者正在改變策略，他們開始利用常見 VPN 和防火牆中的漏洞進行初始存取，並且減少對外部工具的依賴，更多地利用 Windows 內建功能。谷歌表示：「雖然我們預計勒索軟體仍將是全球最主要的威脅之一，但利潤的減少可能會導致一些威脅行為者尋求其他盈利方式。這可能表現為數據竊取勒索行動的增加、使用更激進的勒索策略，或者伺機利用對受害者環境的存取權限進行其他盈利活動，例如利用被入侵的基礎設施發送網絡釣魚信息。」

資料來源：https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html