CISA Warning: Akira Ransomware Exploiting Cisco ASA/FTD Vulnerability
2024/02/16 TheHackerNews — 2024年2月15日 (木) に米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco の Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTDI) の脆弱性 (パッチ適用済み) が、Akiraランサムウェア攻撃で悪用されている可能性が高いとの報告を受け、それらを Known Exploited Vulnerabilities (KEV) カタログに追加した。
問題とされる脆弱性 CVE-2020-3259 (CVSS:7.5) は、深刻度の高い情報漏えいの欠陥であり、影響を受けたデバイスのメモリ内容を、攻撃者に取得されてしまう可能性がある。この脆弱性は、2020年5月にリリースされた、Cisco によるアップデートの一部として修正されている。
2024年1月末に、サイバーセキュリティ企業 Truesec が発表したのは、この脆弱性が Akira ランサムウェアにより武器化され、これまでの1年間において、影響を受けやすい複数の Cisco Anyconnect SSL VPN アプライアンスへの侵害で、悪用されたことを示唆する証拠である。
Truesec のセキュリティ研究者 Heresh Zaremand は、「脆弱性 CVE-2020-3259 のエクスプロイトコードは公開されていない。したがって、この脆弱性を Akira のような脅威アクターが悪用するには、エクスプロイト・コードを自分で作成するか、他者から購入するか必要がある」と述べている。
Palo Alto Networks Unit 42 によると、2023年に新たに設立された Akira は、データ流出サイトまで備える 25 のランサムウェア・グループの1つであり、これまでに約200件の被害者を公表してきた。
このグループは、2023年3月に初めて観測され、身代金を送金させるウォレット・アドレスの追跡により、悪名高い Conti シンジケートとの関連性があると見られている。
2023年の Q4 だけで Akira は、49件の被害者をデータ漏洩ポータルにリストアップしている。つまり、その被害者数は。LockBit (275人)/Play (110人)/ALPHV/BlackCat (102人)/NoEscape (76人)/8Base (75人)/Black Basta (72人) に続く順位となっている。
それぞれの連邦民間行政機関 (FCEB) は、2024年3月7日までに、この脆弱性 CVE-2020-3259 を修正し、潜在的な脅威からネットワークを保護することが義務付けられている。
ただし、ランサムウェアが悪用する脆弱性は他にもある。今月に初めに Arctic Wolf Labs が明らかにしたのは、Atlassian Confluence Data Center/Server で発見された脆弱性 CVE-2023-22527 を悪用して、C3RB3R ランサムウェア/暗号通貨マイナー/RAT などが展開されているという現状である。
米国務省が、BlackCat ランサムウェア・ギャングの主要メンバーの特定や居場所の特定につながる情報に対して最高1,000万ドルの報奨金を出すと発表したのに加え、その関係者の逮捕や有罪判決につながる情報に対して最高500万ドルの報奨金を出すと発表したため、このような展開となった。
また、米国の国務省は、BlackCat ランサムウェア・ギャングの主要メンバーの、身元特定や居場所特定につながる情報に対して最大で $10 million の報奨金を提供し、その逮捕や有罪判決につながる情報に対しては、最大で $5 million の報奨金を与えると発表している。
その RaaS (ransomware-as-a-service) スキームは、Hive のものと類似している。この Hive ランサムウェアは、2021年後半に出現して以来、全世界で 1,000件以上の被害者を危険にさらしてきた。そして、少なくとも $300 million の不正利益を得ていたが、2023年12月に国際的な協調作戦により破壊された。
サイバー犯罪者たちは、ランサムウェアの状況に注目し、手っ取り早く金銭的な利益を得ようとしている。この傾向は、Alpha (ALPHV とは別物) や Wing といった、新たなプレイヤーの台頭につながっている。
米国の Government Accountability Office (GAO) は、2024年1月末に発表した報告書の中で、製造業/電力/医療/公衆衛生/輸送システムなどの重要インフラ組織に対して、ランサムウェアに対処するための、推奨プラクティスの監督強化を求めている。
Cisco ASA/FTD の脆弱性 CVE-2020-3259 ですが、ずいぶん古いものなので、お隣のキュレーション・チームに聞いてみたところ、2020年5月8日に報告しているものだと言っていました。それを狙っている Akira ですが、何らかの根拠があってのことなのでしょう。最近のサイバー犯罪者は、すべからく ROI (Return On Investment) 重視という感じがします。よろしければ、Akira で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.