Поделиться
Троян-шифровальщик Akira массово атакует файерволлы
Вероятнее всего, речь идет об использовании неизвестной пока уязвимости в файерволлах. Но нельзя исключать и версию об использовании краденых реквизитов доступа, - они, очевидно, находятся в активной ротации в даркнете.
На красном мотоцикле
С конца июля аппаратные файерволлы SonicWall все чаще становятся целью для шифровальщика Akira. По данным специалистов компании Arctic Wolf, речь может идти о серийной эксплуатации уязвимости нулевого дня.
Вымогатель Akira впервые был замечен в марте 2023 г. За последние два года его операторы выложили на своем сайте «утечек» в даркнете данные, выведенные из 300 организаций. Та же группировка взяла на себя ответственность за атаки на такие масштабные цели, как представительства автоконцерна Nissan в Океании и Австралии, корпорацию Hitachi и Стэнфордский университет. По данным ФБР, уже к апрелю 2024 г. операторы Akira добились от своих жертв выплат свыше $42 млн.
Исследователи Arctic Wolf Labs указывают, что с 15 июля им удалось зафиксировать несколько успешных атак, в результате которых злоумышленники получили несанкционированный доступ к файерволлам SonicWall через SSL VPN-подключения. Версия использования неизвестной уязвимости пока остается основной. Но нельзя пока исключать и того, что в руки злоумышленников могли попасть реквизиты доступа администраторов этих устройств. В публикации Arctic Wolf говорится, что нельзя исключить и атаки методом перебора и словарные атаки.
Во всех случаях злоумышленники сразу же запускали шифрование данных. Этот паттерн наблюдается с октября 2024 г., что указывает на продолжающуюся целевую кампанию.
В исследовании Arctic Wolf говорится, что операторы Akira использовали виртуальные частные серверы (VPS) для аутентификации в VPN. Легитимные VPN-подключения обычно исходят с IP-адресов обычных провайдеров широкополосного интернета.
Исследование кампании продолжается и, как только дополнительная информация станет известна специалистам по защите, она будет обнародована.
Излюбленная цель
В связи с тем, что речь, вероятнее всего, идет об уязвимости нулевого дня в продуктах SonicWall, специалисты Arctic Wolf рекомендуют администраторам временно отключить SSL VPN-сервисы в файерволлах SonicWall. Также следует усилить защиту легитимного доступа, активировать мониторинг конечных устройств и блокировку VPN-аутентификации с хостинговых провайдеров.
Отчет Arctic Wolf опубликован всего через неделю после того, как компания SonicWall предупредила клиентов о необходимости срочного обновления устройств серии SMA 100 из-за критической уязвимости (CVE-2025-40599), которая может быть использована для запуска произвольного кода на незащищенных устройствах.
По информации компании, для эксплуатации уязвимости CVE-2025-40599 злоумышленнику потребуются права администратора; на момент публикации свидетельств активной эксплуатации этого «бага» не было.
Однако SonicWall настоятельно рекомендует обеспечить всю необходимую защиту устройствам SMA 100, поскольку те уже становились мишенью для хакеров, пытающихся установить руткит OVERSTEP. «Злоумышленники в этих случаях использовали краденые учетные данные, а это значит, реквизиты доступа к файерволлам SonicWall - это ходовой товар в даркнете» — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ,.
«Это можно считать и аргументом в пользу версии о компрометации учетных данных со стороны операторов Akira: нельзя исключать и того, что уязвимость в действительности представляет собой неудаленные после отладки универсальные логин и пароль», — добавил Зайцев.
SonicWall настоятельно рекомендует владельцам виртуальных и физических устройств SMA 100 проверить наличие признаков компрометации (IoC), указанных в отчете Google Threat Intelligence Group. Администраторам следует проанализировать журналы на предмет несанкционированного доступа или подозрительной активности и немедленно связаться с технической поддержкой SonicWall при выявлении следов атаки.
Короткая ссылка
