De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een inmiddels gepatchte beveiligingsfout met gevolgen voor Cisco Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD)-software toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, naar aanleiding van berichten dat deze waarschijnlijk misbruikt bij Akira-ransomware-aanvallen.
Het beveiligingslek in kwestie is CVE-2020-3259 (CVSS-score: 7,5), een zeer ernstig probleem met het vrijgeven van informatie waardoor een aanvaller geheugeninhoud op een getroffen apparaat kan ophalen. Het is door Cisco gepatcht als onderdeel van updates die in mei 2020 zijn uitgebracht.
Eind vorige maand zei cyberbeveiligingsbedrijf Truesec dat het bewijs had gevonden dat erop wees dat het het afgelopen jaar door Akira-ransomware-actoren was bewapend om meerdere gevoelige Cisco Anyconnect SSL VPN-apparaten in gevaar te brengen.
“Er bestaat geen publiekelijk beschikbare exploitcode voor […] CVE-2020-3259, wat betekent dat een bedreigingsacteur, zoals Akira, die deze kwetsbaarheid exploiteert, zelf exploitcode moet kopen of produceren, wat diepgaande inzichten in de kwetsbaarheid vereist”, aldus beveiligingsonderzoeker Heresh Zaremand.
Volgens Palo Alto Networks Unit 42 is Akira een van de 25 groepen met nieuw opgerichte dataleksites in 2023, waarbij de ransomwaregroep publiekelijk bijna 200 slachtoffers claimt. Voor het eerst waargenomen in maart 2023, wordt aangenomen dat de groep banden deelt met het beruchte Conti-syndicaat op basis van het feit dat het de opbrengst van het losgeld naar aan Conti aangesloten portemonnee-adressen heeft gestuurd.
Alleen al in het vierde kwartaal van 2023 vermeldde de e-criminaliteitsgroep 49 slachtoffers op haar datalekportaal, achter LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75). ), en Zwarte Basta (72).
Agentschappen van de Federal Civilian Executive Branch (FCEB) zijn verplicht om geïdentificeerde kwetsbaarheden vóór 7 maart 2024 te verhelpen, om hun netwerken te beveiligen tegen potentiële bedreigingen.
CVE-2020-3259 is verre van de enige fout die kan worden uitgebuit voor het leveren van ransomware. Eerder deze maand onthulde Arctic Wolf Labs het misbruik van CVE-2023-22527 – een onlangs ontdekte tekortkoming in het Atlassian Confluence Data Center en Confluence Server – om C3RB3R-ransomware in te zetten, evenals cryptocurrency-miners en trojans voor externe toegang.
Deze ontwikkeling komt op het moment dat het Amerikaanse ministerie van Buitenlandse Zaken beloningen tot $10 miljoen aankondigde voor informatie die zou kunnen leiden tot de identificatie of locatie van belangrijke leden van de BlackCat-ransomwarebende, naast het aanbieden van maximaal $5 miljoen voor informatie die leidt tot de arrestatie of veroordeling van zijn bendeleden. geassocieerden.
Het ransomware-as-a-service (RaaS)-programma heeft, net als Hive, wereldwijd meer dan 1.000 slachtoffers getroffen en sinds de opkomst ervan eind 2021 minstens 300 miljoen dollar aan illegale winsten opgeleverd. Het werd in december 2023 ontwricht na een internationaal gecoördineerde operatie.
Het ransomware-landschap is een lucratieve markt geworden, die de aandacht trekt van cybercriminelen die op zoek zijn naar snel financieel gewin, wat heeft geleid tot de opkomst van nieuwe spelers zoals Alpha (niet te verwarren met ALPHV) en Wing.
Het Amerikaanse Government Accountability Office (GAO) riep in een eind januari 2024 gepubliceerd rapport op tot beter toezicht op aanbevolen praktijken voor de aanpak van ransomware, met name voor organisaties uit de kritische productie-, energie-, gezondheidszorg- en volksgezondheids- en transportsysteemsectoren.
