De Interlock ransomwaregroep, verantwoordelijk voor een ernstige cyberaanval op de stad St. Paul vorig jaar, maakte gebruik van een zero-day kwetsbaarheid in Cisco Secure Firewall Management Center weken voordat deze publiek werd bekendgemaakt. Amazon Integrated Security publiceerde een rapport waarin wordt beschreven dat de groep de kwetsbaarheid CVE-2026-20131 sinds 26 januari exploiteerde, terwijl de officiële bekendmaking pas op 4 maart plaatsvond.

Volgens CJ Moses, CISO van Amazon Integrated Security, gaf deze zero-day Interlock een voorsprong van ongeveer een week om organisaties te compromitteren voordat beveiligingsteams op de hoogte waren. Cisco bevestigde later dat de kwetsbaarheid daadwerkelijk werd misbruikt. De Cisco Secure Firewall Management Center software stelt beheerders in staat om meerdere Cisco firewalls centraal te beheren. Amazon ontdekte de exploitatie via een verkeerd geconfigureerde server die als staging area diende voor de ransomwaregroep. Onderzoekers vonden diverse aangepaste malware, verkenningsscripts en technieken om detectie te ontwijken, evenals de Interlock losgeldbrief en onderhandelingsportaal, waarmee de toeschrijving aan deze groep werd bevestigd.

Interlock gebruikt volgens het rapport vaak dreigingen met regelgeving om slachtoffers onder druk te zetten, door niet alleen dataversleuteling te dreigen maar ook boetes en complianceproblemen te benoemen. De groep richt zich vooral op organisaties die operationele uitval slecht kunnen verdragen, zoals lokale overheden en onderwijsinstellingen. De aanval op St. Paul leidde tot wekenlange herstelwerkzaamheden waarbij zelfs de Nationale Garde werd ingezet. Ook aanvallen op zorginstellingen zoals DaVita en een groot gezondheidsnetwerk in Ohio leidden tot blootstelling van gevoelige medische gegevens.

De onderwijssector vormt het grootste deel van Interlocks activiteiten, met meerdere K-12 scholen die de afgelopen zes maanden werden getroffen. De groep opereert veelal in de UTC+3 tijdzone, waaronder Moskou en delen van het Midden-Oosten. Naast kwaadaardige tools gebruikt Interlock ook legitieme beveiligingssoftware tijdens aanvallen. De FBI en andere federale instanties meldden dat Interlock sinds september 2024 actief is en zich richt op kritieke infrastructuur en bedrijven in Noord-Amerika en Europa.