Allarme CISA: Ransomware Akira Sfrutta una Vulnerabilità dei Software Cisco ASA/FTD
Allarme della CISA: Gli Attacchi Ransomware Akira Sfruttano una Nota Vulnerabilità Cisco
L’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha recentemente aggiunto al suo catalogo di Vulnerabilità Sfruttate Note (KEV) una falla di sicurezza, ormai corretta, che impatta i software Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), in seguito a segnalazioni che sarebbe stata probabilmente sfruttata negli attacchi ransomware di Akira.
La vulnerabilità in questione, identificata come CVE-2020-3259 (punteggio CVSS: 7.5), è un problema di divulgazione di informazioni di alta gravità che potrebbe permettere a un attaccante di recuperare i contenuti della memoria su un dispositivo interessato. Cisco ha rilasciato le correzioni per questa vulnerabilità come parte degli aggiornamenti del maggio 2020.
Verso la fine dello scorso mese, la società di cybersecurity Truesec ha rivelato di aver trovato prove che suggeriscono come sia stata armata dagli attori del ransomware Akira per compromettere molteplici appliance vulnerabili Cisco Anyconnect SSL VPN nell’ultimo anno.
Nonostante non ci sia alcun codice di exploit pubblicamente disponibile per la CVE-2020-3259, ciò significa che un attore di minaccia, come Akira, che sfrutta tale vulnerabilità, avrebbe bisogno di acquistare o produrre da sé il codice di exploit, il che richiede una profonda comprensione della vulnerabilità.
Secondo Palo Alto Networks Unit 42, Akira è uno dei 25 gruppi con siti di leak di dati appena stabiliti nel 2023, con il gruppo ransomware che ha rivendicato pubblicamente quasi 200 vittime. Osservato per la prima volta nel marzo 2023, si ritiene che il gruppo abbia connessioni con il notorio sindacato Conti, basato sul fatto che i proventi del riscatto sono stati indirizzati a indirizzi di portafoglio affiliati a Conti.
Nel solo quarto trimestre del 2023, il gruppo e-crimine ha elencato 49 vittime sul suo portale di leak di dati, posizionandosi dietro a LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75), e Black Basta (72).
Le agenzie del Ramo Esecutivo Civile Federale (FCEB) sono tenute a rimediare alle vulnerabilità identificate entro il 7 marzo 2024, per proteggere le loro reti contro potenziali minacce.
La CVE-2020-3259 è lontana dall’essere l’unica falla sfruttata per distribuire ransomware. All’inizio di questo mese, Arctic Wolf Labs ha rivelato l’abuso della CVE-2023-22527 – una carenza recentemente scoperta nei Data Center Confluence e nei Server Confluence di Atlassian – per distribuire ransomware C3RB3R, oltre a miner di criptovalute e trojan di accesso remoto.
Questo sviluppo arriva mentre il Dipartimento di Stato USA ha annunciato ricompense fino a 10 milioni di dollari per informazioni che potrebbero portare all’identificazione o alla localizzazione di membri chiave della gang del ransomware BlackCat, oltre a offrire fino a 5 milioni di dollari per informazioni che portino all’arresto o alla condanna dei suoi affiliati.
Il paesaggio del ransomware è diventato un mercato lucrativo, attirando l’attenzione di cybercriminali in cerca di guadagni finanziari rapidi, portando all’ascesa di nuovi player come Alpha (da non confondere con ALPHV) e Wing.
Ci sono indicazioni che Alpha potrebbe essere connesso a NetWalker, che ha chiuso i battenti nel gennaio 2021 a seguito di un’operazione delle forze dell’ordine internazionali. I collegamenti riguardano sovrapposizioni nel codice sorgente e nelle tattiche, tecniche e procedure (TTP) utilizzate negli attacchi.
“Alpha potrebbe essere un tentativo di rivitalizzare la vecchia operazione ransomware da parte di uno o più degli sviluppatori originali di NetWalker”, ha detto Symantec, di proprietà di Broadcom. “In alternativa, gli aggressori dietro Alpha potrebbero aver acquisito e modificato il payload originale di NetWalker per lanciare la propria operazione ransomware.”
L’Ufficio di Responsabilità Governativa degli Stati Uniti (GAO), in un rapporto pubblicato verso la fine di gennaio 2024, ha chiamato a una supervisione migliorata nelle pratiche raccomandate per affrontare il ransomware, specificamente per le organizzazioni dei settori della manifattura critica, energia, sanità e salute pubblica, e sistemi di trasporto.