Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat einen nun behobenen Sicherheitsfehler in der Cisco Adaptive Security Appliance (ASA) und der Firepower Threat Defense (FTD)-Software in ihr Known Exploited Vulnerabilities (KEV)-Verzeichnis aufgenommen. Zuvor wurde berichtet, dass dieser Fehler wahrscheinlich bei Akira-Ransomware-Angriffen ausgenutzt wurde. Bei dem erörterten Fehler handelt es sich um CVE-2020-3259, eine Schwachstelle mit hoher Schweregrad, die einen Angreifer in die Lage versetzt, den Inhalt des Speichers auf einem betroffenen Gerät abzurufen. Cisco hat den Fehler bereits im Mai 2020 behoben. Erst Ende letzten Monats gab das Cybersicherheitsunternehmen Truesec bekannt, dass es Hinweise darauf gefunden hat, dass der Fehler von Akira-Ransomware-Akteuren genutzt wurde, um im letzten Jahr mehrere anfällige Cisco Anyconnect SSL VPN-Geräte zu kompromittieren. Laut Sicherheitsforscher Heresh Zaremand gibt es keinen öffentlich verfügbaren Exploit-Code für den Fehler CVE-2020-3259. Dies bedeutet, dass ein Angreifer, der diese Schwachstelle ausnutzen will, selbst Exploit-Code kaufen oder herstellen müsste, was ein tiefes Verständnis der Schwachstelle erfordert. Akira ist eine von 25 Ransomware-Gruppen mit neu eingerichteten Datenleckseiten im Jahr 2023 und gibt an, fast 200 Opfer gehabt zu haben. Das FBI fordert Agenturen des Federal Civilian Executive Branch (FCEB) auf, identifizierte Schwachstellen bis zum 7. März 2024 zu beheben, um ihre Netzwerke gegen potenzielle Bedrohungen zu schützen. Trotzdem ist CVE-2020-3259 bei weitem nicht die einzige Schwachstelle, die zur Verbreitung von Ransomware ausgenutzt wird. Erst in diesem Monat gab Arctic Wolf Labs bekannt, dass die Schwachstelle CVE-2023-22527 in Atlassian Confluence Data Center und Confluence Server genutzt wurde, um C3RB3R-Ransomware sowie Kryptowährungs-Miner und Remote-Access-Trojaner zu verbreiten. Die U.S. State Department hat eine Belohnung von bis zu 10 Millionen Dollar für Informationen ausgesetzt, die zur Identifizierung oder Aufspürung von Schlüsselmitgliedern der BlackCat-Ransomware-Bande führen könnten. Zudem können bis zu 5 Millionen Dollar für Informationen, die zur Festnahme oder Verurteilung von Bandenmitgliedern führen, erlangt werden. Diese Ransomware-as-a-Service (RaaS)-Gruppe hat weltweit über 1.000 Opfer betroffen und seit ihrem Auftauchen Ende 2021 mindestens 300 Millionen Dollar an illegalen Gewinnen erzielt. Ende 2023 wurde sie im Zuge einer international koordinierten Operation gestoppt. Die Ransomware-Landschaft ist zu einem lukrativen Markt geworden, der die Aufmerksamkeit von Cyberkriminellen auf sich zieht, die nach schnellen finanziellen Gewinnen suchen. Dies hat zur Entstehung neuer Akteure wie Alpha und Wing geführt. Der U.S. Government Accountability Office (GAO) hat in einem Bericht vom Ende Januar 2024 eine verstärkte Aufsicht über empfohlene Maßnahmen zur Bewältigung von Ransomware gefordert, insbesondere für Organisationen aus den Sektoren kritische Fertigung, Energie, Gesundheitswesen und öffentliche Gesundheit sowie Transportwesen.