Група ransomware під назвою Interlock почала атаки ще 26 січня 2026 року, експлуатуючи вразливість CVE-2026-20131 у програмному забезпеченні Cisco Secure Firewall Management Center. Це система, яка керує фаєрволами — пристроями, що захищають корпоративні мережі від несанкціонованого доступу. Вразливість дозволяла будь-якому неавторизованому атакуючому з інтернету виконувати довільний Java-код з правами root, тобто з повним адміністративним контролем над сервером, без жодного пароля чи автентифікації. Cisco виправила проблему патчем 4 березня 2026 року, але на той момент атаки вже тривали 36 днів. Amazon Threat Intelligence оприлюднила деталі саме 18 березня, підтвердивши, що Interlock активно використовувала цю zero-day вразливість.

Хакери отримали root-доступ до незапатчених пристроїв FMC, що дозволило їм повністю контролювати корпоративні фаєрволи та проникати глибше в мережі компаній. Interlock мала щонайменше тиждень переваги перед тим, як фахівці з захисту почали шукати сліди компрометації. Атаки були спрямовані на підприємства, які використовують це обладнання для захисту своїх мереж, і призвели до можливого викрадення даних та встановлення ransomware на скомпрометованих системах.