La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto al suo catalogo di vulnerabilità note ed sfruttate (KEV) una vulnerabilità di sicurezza precedentemente corretta che influisce sul software Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), a seguito di segnalazioni secondo cui è probabile che venga sfruttata negli attacchi di ransomware Akira.
La vulnerabilità in questione è CVE-2020-3259 (punteggio CVSS: 7.5), un problema di divulgazione di informazioni ad alta gravità che potrebbe consentire a un attaccante di recuperare i contenuti della memoria su un dispositivo interessato. Cisco ha corretto questa vulnerabilità con degli aggiornamenti rilasciati nel maggio 2020.
La firma di sicurezza informatica Truesec ha rilevato prove che suggeriscono che la vulnerabilità è stata armata dagli attori del ransomware Akira per compromettere più dispositivi Cisco Anyconnect SSL VPN vulnerabili nell’ultimo anno.
Akira è uno dei 25 gruppi con siti di divulgazione di dati di ransomware recentemente stabiliti nel 2023, con il gruppo che rivendica pubblicamente quasi 200 vittime. Osservato per la prima volta a marzo 2023, si ritiene che il gruppo condivida collegamenti con il noto sindacato Conti, in base al fatto che ha inviato i proventi del riscatto a indirizzi di portafogli affiliati a Conti.
Nell’ultimo trimestre del 2023 da solo, il gruppo e-crimine ha elencato 49 vittime sul suo portale di divulgazione dei dati, posizionandosi dietro a LockBit, Play, ALPHV/BlackCat, NoEscape, 8Base e Black Basta.
Le agenzie del Federal Civilian Executive Branch (FCEB) sono tenute a rimediare alle vulnerabilità identificate entro il 7 marzo 2024 per proteggere le loro reti da potenziali minacce.
CVE-2020-3259 è lontano dall’essere l’unica falla sfruttata per consegnare ransomware. All’inizio di questo mese, Arctic Wolf Labs ha rivelato l’abuso di CVE-2023-22527, una recente carenza scoperta in Atlassian Confluence Data Center e Confluence Server, per distribuire il ransomware C3RB3R, oltre a miner di criptovalute e trojan di accesso remoto.
Il Dipartimento di Stato degli Stati Uniti ha annunciato ricompense fino a $10 milioni per informazioni che potrebbero portare all’identificazione o alla localizzazione dei membri chiave del gruppo ransomware BlackCat, oltre a offrire fino a $5 milioni per informazioni che portino all’arresto o alla condanna dei suoi affiliati.
