L’Agenzia per la Sicurezza Cibernetica e dell’Infrastruttura degli Stati Uniti (CISA) ha aggiunto giovedì una falla di sicurezza (ormai fortunatamente corretta) che influisce sul software Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) al suo catalogo di Vulnerabilità Conosciute Sfruttate (KEV), a seguito di segnalazioni che indica che è probabile che sia stata sfruttata negli attacchi ransomware del gruppo hacker Akira.
Cosa dice la CISA a riguardo del gruppo Akira che ha dispensato ransomware tramite sistemi CISCO
La vulnerabilità in questione è la CVE-2020-3259 (punteggio CVSS: 7,5), un problema di divulgazione delle informazioni di gravità elevata che potrebbe consentire a un attaccante di recuperare i contenuti della memoria su un dispositivo interessato; niente paura poiché è stata corretta da Cisco come parte degli aggiornamenti rilasciati nel maggio 2020.
Alla fine del mese scorso, la società di sicurezza informatica Truesec ha dichiarato di avere prove che indicano che è stata utilizzata dai criminali informatici responsabili della distribuzione del ransomware Akira per compromettere molteplici dispositivi suscettibili Cisco Anyconnect SSL VPN nel corso dell’ultimo anno.
“Non esiste codice di exploit disponibile pubblicamente per […] CVE-2020-3259, il che significa che un criminale informatico, come [con il gruppo di hacker] Akira, che sfrutta quella vulnerabilità, dovrebbe acquistare o produrre il proprio codice di exploit, il che richiede profonde conoscenze della vulnerabilità“, ha dichiarato il ricercatore di sicurezza Heresh Zaremand.
Secondo Palo Alto Networks Unit 42, Akira è uno dei 25 gruppi con siti di fuga dati di recente creazione nel 2023, con il gruppo ransomware che afferma pubblicamente di aver colpito quasi 200 vittime. Osservato per la prima volta nel marzo 2023, si ritiene che il gruppo abbia collegamenti con il noto gruppo di hacker noto come Conti, in quanto ha inviato i proventi del riscatto a indirizzi wallet affiliati a Conti.
Nel solo quarto trimestre del 2023, il gruppo di criminanli informatici ha elencato 49 vittime sul suo portale di fuga dati, posizionandosi dietro LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) e Black Basta (72).
Le agenzie dell’Esecutivo Civile Federale (FCEB) sono tenute a rimediare alle vulnerabilità identificate entro il 7 marzo 2024 per proteggere le loro reti da potenziali minacce.
La CVE-2020-3259 è ben lontana dall’essere l’unica falla sfruttata per la distribuzione di ransomware. All’inizio di questo mese, Arctic Wolf Labs ha rivelato l’abuso della CVE-2023-22527, una lacuna recentemente scoperta in Atlassian Confluence Data Center e Confluence Server, per distribuire il ransomware C3RB3R, nonché miner di criptovalute e trojan di accesso remoto.
Lo sviluppo della vicenda giunge mentre il Dipartimento di Stato degli Stati Uniti ha annunciato ricompense fino a 10 milioni di dollari per coloro che hanno informazioni che potrebbero portare all’identificazione o alla localizzazione dei membri chiave della gang di ransomware BlackCat, oltre a offrire fino a 5 milioni di dollari per informazioni che portino all’arresto o alla condanna dei suoi affiliati.
Il piano di ransomware come servizio (ransomware-as-a-service o RaaS), simile a Hive, ha compromesso oltre 1.000 vittime a livello globale, guadagnando almeno 300 milioni di dollari in profitti illeciti dal suo emergere alla fine del 2021; questo gruppo di criminali informatici è stato smantellato nel dicembre 2023 in seguito a un’operazione coordinata internazionale.
Il panorama dei ransomware è diventato un mercato redditizio, attirando l’attenzione dei criminali informatici in cerca di guadagno finanziario rapido, portando all’emergere di nuovi gruppi di criminali informatici come Alpha (da non confondere con ALPHV) e Wing.
L’Ufficio di Responsabilità Governativa degli Stati Uniti (GAO), in un rapporto pubblicato verso la fine di gennaio 2024, ha chiesto un maggiore controllo sulle pratiche consigliate per affrontare i ransomware, in particolare per le organizzazioni dei settori manifatturiero critico, energia, sanità e sanità pubblica, e trasporti.