Siber güvenlik firması Arctic Wolf, Temmuz 2025’in sonlarında Sonicwall güvenlik duvarı cihazlarını hedefleyen fidye yazılımı saldırılarında önemli bir artış tespit etti ve daha önce bilinmeyen bir sıfır günlük güvenlik açığının sömürülmesine işaret etti.
Şirketin soruşturması, ilk erişim noktası olarak Sonicwall SSL VPN’leri kullanan çoklu koordineli saldırıları ortaya çıkardı ve bu yaygın olarak dağıtılan bu ağ cihazlarının güvenliği konusunda ciddi endişeler yarattı.
Akira Fidye Yazılımı Wxploiting Mümkün 0 Gün
Öncelikle Akira Fidye Yazılım Grubu’nu içeren fidye yazılımı kampanyası, standart güvenlik protokollerini atlatma yeteneklerini göstermektedir.
Arctic Wolf araştırmacıları, saldırganların zamana dayalı bir kerelik şifre (TOTP) çok faktörlü kimlik doğrulama etkinleştirildiğinde bile hesapları başarıyla tehlikeye attığını gözlemledi, bu da güvenlik açığının geleneksel kimlik doğrulama mekanizmalarını atlamaya izin verdiğini gösteriyor.
Belgelenmiş birkaç vakada, kuruluşlar kimlik bilgilerini döndürdükten hemen sonra tamamen yamalı Sonicwall cihazları tehlikeye atıldı, bu da bu müdahaleleri önlemek için geleneksel güvenlik güncellemelerinin yetersiz olduğunu gösterdi.
Saldırı zaman çizelgesi, ilk SSL VPN erişiminden sonra kısa bir aralıkta meydana gelen fidye yazılımı şifrelemesi ile hızlı bir artış paterni ortaya çıkar.
Arctic Wolf, her durumda kaba kuvvet saldırıları, sözlük saldırıları veya kimlik bilgisi doldurma kesin olarak göz ardı etmese de, kanıtlar saldırganların aktif olarak sömürdüğü sıfır gün kırılganlığının varlığını şiddetle göstermektedir.
Anahtar Saldırı Göstergeleri:
- Kısa süreler içinde çok sayıda ön-işçilik yazılım müdahalesi gözlenmiştir.
- Kimlik bilgisi rotasyonunu takiben tamamen yamalı Sonicwall cihazlarının uzlaşması.
- TOTP MFA’nın etkinleştirilmesine rağmen başarılı bir hesap devralma.
- Fidye yazılımı dağıtımına ilk erişimden hızlı ilerleme.
- Kampanya faaliyeti, 15 Temmuz 2025’ten bu yana yoğunlaşarak Ekim 2024’e kadar uzandı.
Teknik analiz, koordineli altyapı ortaya çıkarır
Arctic Wolf’un analizi, saldırı metodolojisinde kötü niyetli aktiviteyi meşru ağ erişiminden ayırmaya yardımcı olan ayırt edici kalıpları ortaya çıkardı.
Geniş bant internet servis sağlayıcı ağlarından kaynaklanan tipik VPN girişlerinden farklı olarak, fidye yazılımı grupları, uzlaşmış ortamlarda kimlik doğrulama için altyapı barındırma altyapısını sürekli olarak kullandı.
Bu taktiksel yaklaşım, saldırganlara daha fazla anonimlik ve operasyonel esneklik sağlar.
Kampanyanın kökleri, benzer kötü amaçlı VPN giriş modellerinin ilk kez gözlemlendiği en az Ekim 2024’e kadar uzanıyor, ancak yoğunluk 15 Temmuz 2025’ten itibaren önemli ölçüde artıyor.
Bu genişletilmiş zaman çizelgesi, tekniklerini birkaç ay boyunca rafine eden iyi kurulmuş bir işlem önermektedir.
Saldırganlar, birden fazla sektördeki kuruluşları başarıyla hedefleyen ağ güvenlik altyapısı hakkında sofistike bir bilgi gösterdiler.
Şüpheli Ağ Altyapısı:
- AS23470 – Reliablesite.net LLC.
- AS215540 – Global Connectivity Solutions LLP.
- AS64236 – Unreal Servers, LLC.
- AS14315 – 1GSERVERS, LLC.
- AS62240 – Clouvider Limited.
Acil durum önerileri ve savunma önlemleri
Tehditin ciddiyeti göz önüne alındığında, Arktik Wolf, Sonicwall SSL VPN hizmetlerini kullanan kuruluşlar için acil önerilerde bulundu.
Birincil öneri, resmi bir yama mevcut olana ve dağıtılana kadar Sonicwall SSL VPN işlevselliğini tamamen devre dışı bırakmaktır.
Bu sert önlem, sıfır gün güvenlik açığının var olduğu ve aktif olarak sömürüldüğü yüksek güven seviyesini yansıtır.
Ek koruyucu önlemler, yönetilen algılama ve müdahale hizmetleri yoluyla kapsamlı günlüğe kaydetme ve izleme uygulanması, uç nokta algılama maddelerinin dağıtılması ve Sonicwall’un güvenlik sertleştirme en iyi uygulamalarını takip etmesi yer alır.
Kuruluşlara ayrıca, kötü niyetli aktivite ile ilişkili olan barınma ile ilgili belirli özerk sistem numaralarından (ASNS) VPN kimlik doğrulama girişimlerini gözden geçirmeleri ve potansiyel olarak engellemeleri tavsiye edilir.
Arctic Wolf, Reliablesite.net LLC, Global Connectivity Solutions LLP ve saldırganların operasyonlarından yararlandığı diğerleri dahil olmak üzere birkaç şüpheli ASN belirledi.
Şirket soruşturmasına devam ediyor ve bu önemli siber güvenlik tehdidinin gelişen doğasını vurgulayarak mevcut hale geldikçe ek bulguları paylaşmayı taahhüt ediyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!