Alerta CISA: Ransomware Akira explorando vulnerabilidade do Cisco ASA/FTD
19 de Fevereiro de 2024

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) na quinta-feira acrescentou uma falha de segurança impactando o software Cisco Adaptive Security Appliance (ASA) e o Firepower Threat Defense (FTD), que agora está corrigida, em seu catálogo de Vulnerabilidades Conhecidas em Exploração (KEV), após relatórios de que provavelmente está sendo explorada em ataques de ransomware Akira.

A vulnerabilidade em questão é a CVE-2020-3259 (pontuação CVSS: 7.5), um problema de divulgação de informações de alta gravidade que poderia permitir que um invasor recuperasse o conteúdo da memória em um dispositivo afetado.

Ela foi corrigida pela Cisco como parte das atualizações lançadas em maio de 2020.

No final do mês passado, a empresa de cibersegurança Truesec disse ter encontrado evidências sugerindo que foi usada pelos atores do ransomware Akira para comprometer múltiplas suscetíveis aplicações Cisco Anyconnect SSL VPN ao longo do último ano.

"Não existe um código de exploração publicamente disponível para [...] CVE-2020-3259 , o que significa que um agente de ameaças, como Akira, que explora essa vulnerabilidade precisa comprar ou produzir o código de exploração, o que requer conhecimento profundo da vulnerabilidade", disse o pesquisador de segurança Hersesh Zaremand.

De acordo com o Unit 42 da Palo Alto Networks, Akira é um dos 25 grupos com sites de vazamento de dados recentemente estabelecidos em 2023, com o grupo do ransomware reclamando publicamente quase 200 vítimas.

Primeiramente observado em março de 2023, o grupo parece se conectar ao notório sindicato Conti com base no fato de que os ganhos do ransom seguiam para endereços de carteira afiliados ao Conti.

Apenas no quarto trimestre de 2023, o grupo e-crime listou 49 vítimas em seu portal de vazamento de dados, ficando atrás do LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) e Black Basta (72).

As agências do Poder Executivo Civil Federal (FCEB) são obrigadas a remediar vulnerabilidades identificadas até 7 de março de 2024 para proteger suas redes contra potenciais ameaças.

CVE-2020-3259 está longe de ser a única falha explorada para enviar ransomware.

No começo deste mês, Arctic Wolf Labs revelou o abuso da CVE-2023-22527 - uma falha recentemente descoberta no Atlassian Confluence Data Center e Confluence Server - para implantar ransomware C3RB3R, bem como mineradores de criptomoedas e trojans de acesso remoto.

O desenvolvimento ocorre conforme o Departamento de Estado dos EUA anunciou recompensas de até $ 10 milhões por informações que possam levar à identificação ou localização dos principais membros da gangue de ransomware BlackCat, além de oferecer até $ 5 milhões por informações que levem à prisão ou condenação de seus afiliados.

O esquema de Ransomware como Serviço (RaaS), assim como o Hive, comprometeu mais de 1.000 vítimas globalmente, obtendo pelo menos $ 300 milhões em lucros ilícitos desde seu surgimento no final de 2021.

Ele foi interrompido em dezembro de 2023 após uma operação internacional coordenada.

A paisagem do ransomware tornou-se um mercado lucrativo, atraindo a atenção de cibercriminosos em busca de ganhos financeiros rápidos, resultando no surgimento de novos jogadores, como Alpha (não confundir com ALPHV) e Wing.

Há indicações de que Alpha pode estar conectado ao NetWalker, que foi encerrado em janeiro de 2021 após uma operação de aplicação da lei internacional.

Os links se referem a sobreposições no código fonte e nas táticas, técnicas e procedimentos (TTPs) usados em ataques.

"Alpha pode ser uma tentativa de reviver a operação antiga de ransomware por um ou mais dos desenvolvedores originais do NetWalker", disse a Symantec, de propriedade da Broadcom.

"Em alternativa, os atacantes por trás do Alpha podem ter adquirido e modificado o payload original do NetWalker para lançar sua própria operação de ransomware."

O Escritório de Responsabilidade Governamental dos EUA (GAO), em um relatório publicado no final de janeiro de 2024, pediu uma supervisão aprimorada das práticas recomendadas para lidar com o ransomware, especificamente para organizações dos setores de manufatura crítica, energia, saúde e saúde pública, e sistemas de transporte.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...