Dört saat veya daha az: Akira iştiraklerinin kuruluşlara girmeleri ve fidye yazılımlarını sistemlerine yerleştirmeleri ne kadar sürer.
Sonicwall SSL VPN kimlik bilgileriyle silahlı, daha önceki müdahalelerde çalındı ve görünüşe göre çok faktörlü kimlik doğrulamayı (MFA) atlayabiliyor, saldırganlar:
- Ağ hizmetlerini ve teminatsız hesapları keşfetmek için ağı taramaya başlayın
- SMB oturumlarını kurmak ve etkileşim kurmak için ithal kullanın
- Geri ihlal edilmiş ortamlar aracılığıyla yanal hareket için RDP kullanın
- Bir etki alanı denetleyicisine giden yolu bulun ve sanal makine depolama ve yedeklemelere erişim sağlayın
- RMM araçlarını yüklemek ve veri açığa çıkması için ek hesaplar (etki alanı hesapları dahil) oluşturun
- Bir C2 yöntemi oluşturun
- Verileri toplayın ve dışarı atın
- Meşru RMM araçlarını ve EDR araçlarını devre dışı bırakın, Sistem Volume Shadow Service kopyalarını sil, olay günlüklerini temizleyin
- Winrar’ı RCLone veya Filezilla aracılığıyla eklenecek verileri arşivlemek için kurun Bir Sanal Özel Sunucuya (VPS) kontrol ediyorlar.
- Akira fidye yazılımlarını dağıtın.
İlk Erişim
Arctic Wolf, Temmuz 2025’ten bu yana Akira fidye yazılımı saldırılarının artması konusunda uyarıyor.
İlk başta, saldırganların Sonicwall VPN cihazlarında sıfır gün istismar edilebileceği ortaya çıktı, ancak daha sonra Sonicwall Sonicos Management Access ve SSL VPN’de uygunsuz bir erişim kontrolü kusuru olan CVE-2024-40766’yı kötüye kullandıkları doğrulandı.
CVE-2024-40766 için bir düzeltme, Ağustos 2024’te Sonicwall tarafından piyasaya sürüldü, ancak şirkete göre, bazı müşteriler SSL VPN erişimi olan yerel kullanıcı hesapları için şifreleri sıfırlamadan Gen 6’dan Gen 7 güvenlik duvarlarına yükseltildi.
Hakim teori, bu aktörlerin daha sessiz müdahaleler sırasında aylar önce SSL VPN ve ayrıcalıklı hizmet hesabı kimlik bilgilerini hasat etmesidir. Şimdi bu kimlik bilgilerini yamalı veya yükseltmiş olabilecek, ancak asla yerel kullanıcı şifrelerini döndürmemiş kuruluşları ihlal etmek için yeniden kullanıyorlar.
Rapid7 araştırmacıları ayrıca saldırganların ek zayıflıklardan yararlandığını öne sürdüler:
- Sonicwall Cihazları’nın SSLVPN varsayılan kullanıcıları grup ayarında yanlış yapılandırma, hassas hizmetlere erişebilecek önceden tanımlanmış her LDAP kullanıcısını otomatik olarak ekleyen bir yerel gruba otomatik olarak ekler
- Sonicos yönetim arayüzü içindeki harici olarak erişilebilir sanal ofis portalı, uzlaşmış hesaplarda tek seferlik şifre (OTP) çok faktörlü kimlik doğrulama yapılandırmalarını sağlar.
“Araştırmamızda, OTP MFA özellikli hesaplarda tekrarlanan kötü niyetli SSL VPN girişlerini gözlemledik, bu durumlarda çizik kodu kullanımını dışlayarak. Ayrıca SSL VPN girişinden (olay kimliği 1080) önce tehlikeye atılan hesapların kötü niyetli kullanımı belirtileri bulamadık (veya diğer kötü niyetli yapım olaylarını veya diğer kötü niyetli yapılandırma değişikliklerini gözlemledik (o olaylar (diğer kötü niyetli günler). Girişler, ”dedi Arktik Kurt Araştırmacıları.
“Birlikte ele alındığında, kanıtlar OTP yapılandırmasının değiştirilmesinden ziyade geçerli kimlik bilgilerinin kullanılmasına işaret ediyor, ancak MFA özellikli hesaplara karşı kimlik doğrulama yöntemi belirsizliğini koruyor.”
Şimdiye kadar, bu müdahalelerin ve Sonicwall’un güvenlik duvarları için bulut yedekleme hizmetine yönelik saldırının ilişkili olduğuna dair bir gösterge yok.
Kuruluşlar için Tavsiye
Mağdur örgütleri birden fazla endüstriyi kapsıyor ve büyük ölçüde değişiyor, bu da saldırıların hedeflenmekten ziyade fırsatçı olduğuna işaret ediyor.
İlk erişim ve fidye yazılımı dağıtım arasındaki olağanüstü kısa süre, erken tespit ve yanıtın çok önemli olduğu anlamına gelir.
Araştırmacılar kuruluşlara aşağıdakilere tavsiyelerde bulunuyor:
- VPS barındırma sağlayıcılarından veya mümkünse, oturum açmaları izleyin
- İthal kullanımına işaret eden anormal KOBİ aktivitesini ve LDAP keşif aktivitesini izleyin
- Sunuculardaki olağandışı konumlardan ağ tarama araçlarının ve arşiv araçlarının yürütülmesini izleyin
- Yetkisiz uzaktan araçları engellemek, güvenilmeyen yollardan yürütmeyi reddetmek için işletme için uygulama kontrolü kullanın.
Arctic Wolf Araştırmacılar, “Sonicwall cihazlarınız CVE-2024-40766’ya karşı daha önce firmware sürümlerini çalıştırıyorsa, SSL VPN şifreleri ve OTP MFA sırları da dahil olmak üzere güvenlik duvarında depolanan tüm kimlik bilgilerini sıfırlamanızı şiddetle tavsiye ediyoruz” diye ekledi.
“Bu, hem yerel güvenlik duvarı hesaplarını hem de LDAP senkronize edilmiş Active Directory hesaplarını içerir, özellikle de hesapların SSL VPN’ye erişimi olduğu durumlarda. Tehdit aktörleri, cihazlar tamamen yamalı olsa bile bu kimlik bilgilerini kötüye kullanıyor, bu da kimlik bilgisi hırsızlığının yaşam döngüsünde daha önce meydana gelebileceğini düşündürmektedir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!