Cơ quan An ninh mạng và Cơ sở hạ tầng của Hoa Kỳ (CISA) đã thêm một lỗ hổng bảo mật đã được vá trong phần mềm Cisco Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) vào danh mục Lỗ hổng đã biết được khai thác (KEV) vào ngày 15/02/2024, sau khi có báo cáo cho biết nó có khả năng bị khai thác trong các cuộc tấn công ransomware Akira.
Lỗ hổng được đề cập là CVE-2020-3259 (điểm CVSS: 7,5), có mức độ nghiêm trọng cao có thể cho phép kẻ tấn công truy xuất nội dung bộ nhớ trên thiết bị bị ảnh hưởng, đã được Cisco vá như một phần của bản cập nhật được phát hành vào tháng 5 năm 2020.
Cuối tháng 01/2024, công ty an ninh mạng Truesec cho biết: đã tìm được bằng chứng cho thấy phần mềm bị ảnh hưởng do các tác nhân ransomware Akira để tấn côngnhiều thiết bị Cisco Anyconnect SSL VPN dễ bị tấn công trong năm qua.
Nhà nghiên cứu bảo mật Heresh Zaremand cho biết: “Không có mã khai thác công khai nào cho […] CVE-2020-3259, có nghĩa là kẻ tấn công như Akira, khai thác lỗ hổng đó sẽ cần phải mua hoặc tạo ra mã khai thác, điều này đòi hỏi những hiểu biết sâu sắc về lỗ hổng. ”
Theo Palo Alto Networks Unit 42, Akira là một trong 25 nhóm có trang web rò rỉ dữ liệu mới thành lập vào năm 2023, với nhóm ransomware công khai gần 200 nạn nhân. Được quan sát lần đầu vào tháng 3 năm 2023, nhóm này có liên kết với băng đảng Conti nổi tiếng dựa trên việc tiền chuộc đã được chuyển đến địa chỉ ví liên kết với Conti.
Chỉ trong quý IV năm 2023, nhóm tội phạm mạng này đã liệt kê 49 nạn nhân trên cổng thông tin rò rỉ dữ liệu của họ, đứng sau LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) và Black Basta (72).
Các cơ quan trong Phân ban Thực thi Dân sự Liên bang (FCEB) được yêu cầu khắc phục các lỗ hổng được xác định trước ngày 7 tháng 3 năm 2024 để bảo vệ mạng của họ khỏi các mối đe dọa tiềm ẩn.
CVE-2020-3259 không phải là lỗ hổng duy nhất được khai thác để triển khai ransomware. Trước đó trong tháng 02/2023, Arctic Wolf Labs đã tiết lộ việc lạm dụng CVE-2023-22527 – một điểm yếu mới được phát hiện gần đây trong Atlassian Confluence Data Center và Confluence Server – để triển khai ransomware C3RB3R, cũng như các công cụ khai thác tiền điện tử và trojan truy cập từ xa.
Sự phát triển này diễn ra khi Bộ Ngoại giao Mỹ thông báo mức thưởng lên đến 10 triệu đô la cho thông tin về xác định hoặc vị trí của các thành viên chủ chốt của băng ransomware BlackCat, cũng như cung cấp lên đến 5 triệu đô la cho thông tin về bắt giữ hoặc kết án các đồng phạm của chúng.
Kế hoạch ransomware-as-a-service (RaaS), tương tự như Hive, đã xâm nhập hơn 1.000 nạn nhân trên toàn cầu, thu được ít nhất 300 triệu đô la lợi nhuận bất hợp pháp kể từ khi xuất hiện vào cuối năm 2021. Nó đã bị phá vỡ vào tháng 12 năm 2023 sau một cuộc hoạt động phối hợp quốc tế.
Cảnh cảnh báo ransomware đã trở thành một thị trường sinh lời, thu hút sự chú ý của các tội phạm mạng tìm kiếm lợi nhuận tài chính nhanh chóng, dẫn đến sự xuất hiện của các đối thủ mới như Alpha (không phải ALPHV) và Wing.
Có những dấu hiệu cho thấy Alpha có thể liên quan đến NetWalker, một ransomware đã đóng cửa vào tháng 1 năm 2021 sau một cuộc chiến lược của cảnh sát quốc tế. Các liên kết này liên quan đến sự trùng lặp trong mã nguồn và các chiến thuật, kỹ thuật và thủ tục (TTPs) được sử dụng trong các cuộc tấn công.
Symantec thuộc sở hữu của Broadcom cho biết: “Alpha có thể là một nỗ lực nhằm khôi phục hoạt động ransomware cũ của một hoặc nhiều nhà phát triển NetWalker ban đầu”. “Ngoài ra, những kẻ tấn công đằng sau Alpha có thể đã mua và sửa đổi tải trọng NetWalker ban đầu để khởi động hoạt động ransomware của riêng chúng.”
Văn phòng Trách nhiệm Chính phủ Hoa Kỳ (GAO), trong một báo cáo được công bố vào cuối tháng 1 năm 2024, đã kêu gọi tăng cường giám sát các biện pháp được khuyến nghị để giải quyết phần mềm tống tiền, đặc biệt đối với các tổ chức thuộc các lĩnh vực sản xuất quan trọng, năng lượng, y tế, y tế công cộng và hệ thống giao thông.
