L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé jeudi ajoutée une faille de sécurité désormais corrigée affectant les logiciels Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) sur ses vulnérabilités exploitées connues (KEV), à la suite d’informations selon lesquelles il serait probablement exploité dans le cadre d’attaques de ransomware Akira.
La vulnérabilité en question est CVE-2020-3259 (score CVSS : 7,5), un problème de divulgation d’informations de haute gravité qui pourrait permettre à un attaquant de récupérer le contenu de la mémoire sur un appareil affecté. C’était patché par Cisco dans le cadre des mises à jour publiées en mai 2020.
À la fin du mois dernier, la société de cybersécurité Truesec a déclaré avoir trouvé des preuves suggérant qu’elle avait été utilisée par les acteurs du ransomware Akira pour compromettre plusieurs appareils VPN SSL Cisco Anyconnect sensibles au cours de l’année écoulée.
« Il n’existe aucun code d’exploitation accessible au public pour […] CVE-2020-3259, ce qui signifie qu’un acteur malveillant, tel qu’Akira, exploitant cette vulnérabilité devrait acheter ou produire lui-même du code d’exploitation, ce qui nécessite une connaissance approfondie de la vulnérabilité », a déclaré Heresh Zaremand, chercheur en sécurité. dit.
Selon l’unité 42 de Palo Alto Networks, Akira est un des 25 groupes avec des sites de fuite de données nouvellement créés en 2023, le groupe de ransomware revendiquant publiquement près de 200 victimes. Observé pour la première fois en mars 2023, le groupe serait partager des connexions avec le célèbre syndicat Conti sur la base du fait qu’il a envoyé le produit de la rançon à des adresses de portefeuille affiliées à Conti.
Rien qu’au quatrième trimestre 2023, le groupe de cybercriminalité a répertorié 49 victimes sur son portail de fuite de donnéesen le plaçant derrière LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) et Black Basta (72).
Les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues de remédier aux vulnérabilités identifiées d’ici le 7 mars 2024, afin de sécuriser leurs réseaux contre les menaces potentielles.
CVE-2020-3259 est loin d’être la seule faille exploitée pour diffuser des ransomwares. Plus tôt ce mois-ci, Arctic Wolf Labs révélé l’abus de CVE-2023-22527 – une lacune récemment découverte dans Atlassian Confluence Data Center et Confluence Server – pour déployer le ransomware C3RB3R, ainsi que les mineurs de cryptomonnaie et les chevaux de Troie d’accès à distance.
Cette évolution intervient alors que le Département d’État américain annoncé des récompenses allant jusqu’à 10 millions de dollars pour les informations pouvant conduire à l’identification ou à la localisation des membres clés du gang de ransomware BlackCat, en plus d’offrir jusqu’à 5 millions de dollars pour les informations conduisant à l’arrestation ou à la condamnation de ses affiliés.
Le système de ransomware-as-a-service (RaaS), tout comme Hive, a compromis plus de 1 000 victimes dans le monde, générant au moins 300 millions de dollars de profits illicites depuis son émergence fin 2021. Il a été perturbé en décembre 2023 à la suite d’une opération internationale coordonnée.
Le paysage des ransomwares est devenu un marché lucratif, attirant l’attention des cybercriminels à la recherche de gains financiers rapides, entraînant l’émergence de nouveaux acteurs tels que Alpha (à ne pas confondre avec ALPHV) et Aile.
Le Government Accountability Office (GAO) des États-Unis, dans un rapport publié vers la fin janvier 2024, appelait à une surveillance renforcée des pratiques recommandées pour lutter contre les ransomwares, en particulier pour les organisations des secteurs critiques de la fabrication, de l’énergie, de la santé et de la santé publique, ainsi que des systèmes de transport.