Advertencia de CISA: Akira Ransomware explota la vulnerabilidad Cisco ASA/FTD

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad ahora parcheada que afecta al software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de que probablemente esté siendo explotado en ataques de ransomware Akira.

La vulnerabilidad en cuestión es CVE-2020-3259 (puntuación CVSS: 7,5), un problema de divulgación de información de alta gravedad que podría permitir a un atacante recuperar el contenido de la memoria de un dispositivo afectado. Cisco lo parcheó como parte de las actualizaciones lanzadas en mayo de 2020.

A finales del mes pasado, la empresa de ciberseguridad Truesec dijo que había encontrado pruebas que sugerían que los actores del ransomware Akira la habían convertido en un arma para comprometer múltiples dispositivos VPN SSL Cisco Anyconnect susceptibles durante el último año.

"No existe un código de explotación disponible públicamente para [...] CVE-2020-3259, lo que significa que un actor de amenazas, como Akira, que explota esa vulnerabilidad tendría que comprar o producir código de explotación por sí mismo, lo que requiere una visión profunda de la vulnerabilidad", dijo el investigador de seguridad Heresh Zaremand.

Según la Unidad 42 de Palo Alto Networks, Akira es uno de los 25 grupos con sitios de fuga de datos recientemente establecidos en 2023, y el grupo de ransomware se ha cobrado públicamente casi 200 víctimas. Observado por primera vez en marzo de 2023, se cree que el grupo comparte conexiones con el notorio sindicato Conti basándose en el hecho de que ha enviado las ganancias del rescate a direcciones de billetera afiliadas a Conti.

Solo en el cuarto trimestre de 2023, el grupo de delitos electrónicos enumeró 49 víctimas en su portal de fuga de datos, lo que lo coloca detrás de LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) y Black Basta (72).

Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) deben remediar las vulnerabilidades identificadas antes del 7 de marzo de 2024 para proteger sus redes contra posibles amenazas.

CVE-2020-3259 está lejos de ser la única falla que se explota para distribuir ransomware. A principios de este mes, Arctic Wolf Labs reveló el abuso de CVE-2023-22527, una deficiencia recientemente descubierta en Atlassian Confluence Data Center y Confluence Server, para implementar el ransomware C3RB3R, así como mineros de criptomonedas y troyanos de acceso remoto.

El desarrollo se produce cuando el Departamento de Estado de EE. UU. anunció recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o ubicación de miembros clave de la banda de ransomware BlackCat, además de ofrecer hasta 5 millones de dólares por información que conduzca al arresto o condena de sus afiliados.

El esquema de ransomware como servicio (RaaS), al igual que Hive, comprometió a más de 1,000 víctimas en todo el mundo, obteniendo al menos USD 300 millones en ganancias ilícitas desde su aparición a fines de 2021. Se interrumpió en diciembre de 2023 tras una operación coordinada internacionalmente.

El panorama del ransomware se ha convertido en un mercado lucrativo, que atrae la atención de los ciberdelincuentes que buscan ganancias financieras rápidas, lo que ha llevado al surgimiento de nuevos jugadores como Alpha (que no debe confundirse con ALPHV) y Wing.

La Oficina de Rendición de Cuentas del Gobierno de EE. UU. (GAO), en un informe publicado a finales de enero de 2024, pidió una mayor supervisión de las prácticas recomendadas para abordar el ransomware, específicamente para organizaciones de los sectores críticos de fabricación, energía, atención médica y salud pública, y sistemas de transporte.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta