Akira ve Fog tehdit aktörlerinin yer aldığı son siber saldırılar, SonicWall SSL VPN cihazlarındaki bir güvenlik açığından (CVE-2024-40766) yararlanarak çeşitli endüstrileri hedef aldı; burada bu saldırılar, öldürme zincirinin erken safhalarında başlatıldı ve VPS tarafından barındırılan IP adreslerinden kötü amaçlı VPN oturum açma bilgilerinden yararlanıldı. .
İlk erişimden fidye yazılımı şifrelemesine genellikle aynı gün içinde hızlı bir şekilde geçiş yapılması, savunmasız sistemlere yama uygulanmasının aciliyetini vurgulamaktadır.
Birden fazla izinsiz girişte paylaşılan altyapı, koordineli saldırılara işaret eder.
Bu tehditlerin etkisini azaltmak için, paylaşılan IP adreslerinden şüpheli VPN oturum açma işlemlerinin izlenmesi gibi zamanında tespit ve önleme stratejilerinin uygulanması önemlidir.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
CVE-2024-40766 spesifik güvenlik açığının bu saldırılarla kesin olarak bağlantısı olmasa da, etkilenen SonicWall cihazları buna karşı savunmasızdı; bu da tehdit aktörlerinin ilk erişim elde etmek için SonicWall cihazlarındaki zayıflıklardan yararlanıyor olabileceğini gösteriyor.
Araştırmalar, Ağustos 2024’ten bu yana SonicWall güvenlik duvarlarını hedef alan fidye yazılımı saldırılarında önemli bir artış olduğunu ortaya koyuyor.
Öncelikle Akira ve Fog fidye yazılımlarını kullanan bu saldırılar, ilk erişim elde etmek için SSL VPN’lerdeki güvenlik açıklarından yararlanıyor.
Şifrelemenin birkaç saat içinde gerçekleşmesiyle birlikte bu saldırıların hızla artması, kuruluşların SonicWall güvenlik duvarlarının güvenliğine öncelik vermeleri ve fidye yazılımıyla ilişkili riskleri azaltmak için güçlü güvenlik önlemleri uygulamaları konusundaki kritik ihtiyacın altını çiziyor.
Kurban ortamlarına ilk erişim, genellikle cihazlarda yerel olan ve MFA’sı olmayan, CVE-2024-40766 gibi güvenlik açıklarından veya kaba kuvvet saldırılarından yararlanan tehdit aktörleri tarafından istismar edilen, güvenliği ihlal edilmiş SonicWall SSL VPN hesapları aracılığıyla kolaylaştırıldı.
Kötü amaçlı oturum açma işlemleri sıklıkla VPS sağlayıcılarından kaynaklanıyordu ve Akira gibi fidye yazılımı gruplarıyla ilişkilendiriliyordu. Güvenlik duvarı günlüklerinin silinmesi, genellikle soruşturma çabalarını engelleyen başarılı izinsiz girişlerin işaretiydi.
Fidye yazılımı saldırıları, tehdit aktörlerinin şifreleme için sanal makinelere ve bunların yedeklerine öncelik vermesi nedeniyle, veri şifrelemenin ilk erişimden birkaç saat sonra gerçekleşmesiyle hızlı bir artış gösterdi.
Süzme faaliyetleri, insan kaynakları ve muhasebe belgeleri gibi hassas verileri hedef alarak 30 aya kadar verinin çalınmasını sağlarken, genel dosyalar ve uygulamalar gibi daha az hassas veriler daha kısa sürelerle sızdırıldı.
Arctic Wolf tarafından yürütülen son araştırmalar, SonicWall SSL VPN hizmetlerini kullanan ortamları hedef alan Fog ve Akira olarak bilinen fidye yazılımı saldırılarında bir artış olduğunu ortaya çıkardı.
CVE-2024-40766 gibi güvenlik açıklarından yararlanıldığına dair kesin kanıtlar eksik olsa da, muhtemelen veri ihlalleri yoluyla elde edilen güvenliği ihlal edilmiş VPN kimlik bilgilerinden şüpheleniliyor.
Tehdit aktörlerinin taktikleri, hızlı veri sızıntısı ve hedef sektörlerin eğitimin ötesine genişletilmesi de dahil olmak üzere gelişti.
Bu risklerin meydana gelme olasılığını azaltmak için savunucuların ürün yazılımı güncellemelerine öncelik vermesi, VPN oturum açma bilgilerini izlemesi, güvenli yedeklemeler sağlaması ve uzlaşma sonrası etkinlikleri aktif olarak izlemesi gerekir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!