Sonicwall SSL VPN cihazları, Temmuz 2025’in sonlarında gözlemlenen etkinlikte yeni bir artışın bir parçası olarak Akira fidye yazılımı saldırılarının hedefi haline geldi.
Arctic Wolf Labs araştırmacısı Julian Tuin bir raporda, “Gözden geçirilen müdahalelerde, kısa bir süre içinde, her biri Sonicwall SSL VPN’leri aracılığıyla VPN erişimini içeren çok sayıda ön-yazılım öncesi müdahale gözlemlendi.” Dedi.
Siber güvenlik şirketi, bazı olayların tam olarak paketlenmiş Sonicwall cihazlarını etkilediği göz önüne alındığında, saldırıların, cihazlarda henüz belirsiz bir güvenlik kusuru kullanabileceğini öne sürdü. Ancak, ilk erişim için kimlik temelli saldırılar olasılığı göz ardı edilmemiştir.
Sonicwall SSL VPN’leri içeren saldırılardaki artış, ilk olarak 15 Temmuz 2025’te kaydedildi, ancak Arctic Wolf, Ekim 2024’e kadar benzer kötü amaçlı VPN girişleri gözlemlediğini ve cihazları hedeflemek için sürekli çabalar gösterdiğini söyledi.
“İlk SSL VPN hesap erişimi ile fidye yazılımı şifrelemesi arasında kısa bir aralık gözlendi.” Dedi. “Genellikle geniş bant internet servis sağlayıcıları tarafından işletilen ağlardan kaynaklanan meşru VPN girişlerinin aksine, fidye yazılımı grupları genellikle tehlikeye atılan ortamlarda VPN kimlik doğrulaması için sanal özel sunucu barındırma kullanır.”
Etkinlik hakkında daha fazla bilgi için Sonicwall’a gönderilen sorgular, bu makalenin yayınlanmasına kadar bir yanıt vermedi. Azaltma olarak, kuruluşların sıfır gün güvenlik açığı olasılığı göz önüne alındığında, bir yama sağlanana ve konuşlandırılana kadar Sonicwall SSL VPN hizmetini devre dışı bırakmayı düşünmeleri tavsiye edilir.
Diğer en iyi uygulamalar arasında uzaktan erişim için çok faktörlü kimlik doğrulamanın (MFA) uygulanması, aktif olmayan veya kullanılmayan yerel güvenlik duvarı kullanıcı hesaplarının silinmesi ve şifre hijyeni takibi sayılabilir.
2024’ün başından itibaren Akira fidye yazılımı aktörlerinin 250’den fazla kurbanı hedef aldıktan sonra yaklaşık 42 milyon dolarlık yasadışı geliri zorladığı tahmin ediliyor. İlk olarak Mart 2023’te ortaya çıktı.
Check Point tarafından paylaşılan istatistikler, Akira’nın Qilin’den sonra 2025’in ikinci çeyreğinde en aktif ikinci grup olduğunu gösteriyor ve süre boyunca 143 kurban iddia ediyor.
Siber güvenlik şirketi, “Akira fidye yazılımı İtalya’ya özel bir odaklanıyor, kurbanlarının% 10’u İtalyan şirketlerinden genel ekosistemdeki% 3’üne kıyasla.” Dedi.