Siber güvenlik şirketi Arktic Wolf’a göre, Sonicwall güvenlik duvarı cihazları, Temmuz ayı sonlarından bu yana Akira fidye yazılımı saldırılarının bir artışında giderek daha fazla hedefleniyor ve potansiyel olarak daha önce bilinmeyen bir güvenlik açığından yararlanıyor.
Akira Mart 2023’te ortaya çıktı ve çeşitli endüstrilerde dünya çapında birçok kurbanı hızla talep etti. Son iki yılda Akira, karanlık web sızıntı portalına 300’den fazla organizasyon ekledi ve Nissan (Oceania ve Avustralya), Hitachi ve Stanford Üniversitesi de dahil olmak üzere birçok yüksek profilli kurban için sorumluluk talep etti.
FBI, Akira fidye yazılımı çetesinin Nisan 2024 itibariyle 250’den fazla kurbandan 42 milyon doların üzerinde fidye ödemesi topladığını söyledi.
Arctic Wolf Labs’ın gözlemlediği gibi, çoklu fidye yazılımı müdahaleleri, 15 Temmuz’dan başlayarak Sonicwall SSL VPN bağlantıları aracılığıyla yetkisiz erişim içeriyordu. Bununla birlikte, bu saldırılarda sömürülen sıfır gün kırılganlığı çok muhtemel olsa da, Arktik Wolf kimlik temelli saldırıları yönetmedi.
Arctic Wolf Labs araştırmacıları, “İlk erişim yöntemleri henüz bu kampanyada doğrulanmadı.” Diyerek şöyle devam etti: “Sıfır günlük bir güvenlik açığının varlığı oldukça makul olsa da, kaba kuvvet yoluyla kimlik bilgisi erişim, sözlük saldırıları ve kimlik bilgisi doldurma henüz her durumda kesin olarak göz ardı edilmemiştir.”
Fidye yazılımı etkinliğindeki bu artış boyunca, saldırganlar, SSL VPN hesapları aracılığıyla başlangıç ağ erişiminden, en azından Ekim 2024’ten bu yana tespit edilen benzer saldırılarla tutarlı bir model olan ve Sonicwall cihazlarını hedefleyen sürekli bir kampanyayı gösteren veri şifrelemesine hızla geçti.
Buna ek olarak, Arctic Wolf, fidye yazılımı operatörlerinin VPN kimlik doğrulaması için sanal özel sunucu barındırma kullanılarak gözlemlendiğini, meşru VPN bağlantıları genellikle geniş bant internet servis sağlayıcılarından kaynaklandığını belirtti.
Güvenlik araştırmacıları hala bu kampanyada kullanılan saldırı yöntemlerini araştırıyor ve kullanılabilir hale gelir gelmez savunuculara ek bilgi sağlayacak.
Vahşi doğada bir Sonicwall Zero-Day güvenlik açığının kullanılması güçlü olasılığı nedeniyle, Arktik Kurt yöneticilere Sonicwall SSL VPN hizmetlerini geçici olarak devre dışı bırakmalarını tavsiye etti. Buna ek olarak, yamalar kullanıma gelene kadar geliştirilmiş günlüğü, uç nokta izleme ve barındırma ile ilgili ağ sağlayıcılarından VPN kimlik doğrulaması gibi daha fazla güvenlik önlemi uygulamalıdır.
Yöneticiler SMA 100 Aletleri Güvence Bulunması Önerdi
Arctic Wolf’un raporu, Sonicwall’ın müşterileri SMA 100 cihazlarını kritik bir güvenlik açığı (CVE-2025-40599) karşısında, açılmamış cihazlarda uzaktan kod yürütme elde etmek için sömürülebilecek bir hafta boyunca uyarmasından bir hafta sonra geliyor.
Şirketin açıkladığı gibi, saldırganlar CVE-2025-40599 sömürüsü için yönetici ayrıcalıklarına ihtiyaç duyacak olsa da ve bu kırılganlığın aktif olarak sömürüldüğüne dair bir kanıt yok, hala yöneticileri, Google Tehdit İstihbaratları’na göre düzenli yazılımlar kullanılarak düzensiz kimlik bilgilerini kullanan saldırılarda bulundukları için zaten SMA 100 cihazlarını güvence altına almaya çağırdı.
Sonicwall ayrıca, GTIG’nin raporundan uzlaşma göstergelerini (IOCS) kontrol etmeleri için SMA 100 sanal veya fiziksel aletleri olan müşterilere, yöneticilerin yetkisiz erişim ve şüpheli etkinlikler için günlükleri gözden geçirmesi ve herhangi bir uzlaşma kanıtı bulurlarsa Sonicwall desteğine başvurmaları gerektiğini öne sürdü.
Bir Sonicwall sözcüsü, bugün daha önce BleepingComputer tarafından temasa geçildiğinde hemen yorum yapmak için mevcut değildi.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.