Akira fidye yazılımı ve muhtemelen sıfır gün istismarını kullanan saldırganlar, 15 Temmuz 2025’ten beri Sonicwall güvenlik duvarlarını hedefleyen tespit edildi.
Arctic Wolf araştırmacıları, “Gözden geçirilen müdahalelerde, kısa bir süre içinde, her biri Sonicwall SSL VPN’leri aracılığıyla VPN erişimini içeren çok sayıda ön-yazılım öncesi müdahale gözlemlendi” diye uyardı.
Henüz saldırganların kaba kuvvet, sözlük saldırıları ve kimlik bilgisi doldurma yoluyla cihazlara ilk erişim sağlama olasılığını göz ardı etmemiş olsalar da, sıfır günlük bir güvenlik açığının varlığını ve sömürüsüne işaret eden kanıtlar var.
“Bazı durumlarda, kimlik bilgisi rotasyonundan sonra tamamen yamalı Sonicwall cihazları etkilendi. [time-based one-time password] [multi-factor authentication] Etkinleştirildiğinde, bazı durumlarda hesaplar hala tehlikeye atıldı ”diye paylaştılar ve saldırganların hızlı bir şekilde hareket ettiği konusunda uyardı:“ İlk SSL VPN hesap erişimi ile fidye yazılımı şifrelemesi arasında kısa bir aralık gözlendi. ”
Arctic Wolf Labs araştırmacıları hala bu kampanyayı araştırıyor. Bu arada, organizasyonlara, saldırganların sıfır günden yararlanıp yararlanmadığı ve eğer öyleyse, bir yama sağlanıp konuşlandırılana kadar daha fazla netlik olana kadar Sonicwall SSL VPN hizmetini devre dışı bırakmayı düşünmelerini tavsiye ettiler.
Ayrıca, sanal özel sunucu barındırma sağlayıcılarından kaynaklanan şüpheli VPN girişlerini kontrol etmeli (ve engellemeli). (Araştırmacılar bunlardan beşini listelediler.)
Akira Hizmet Olarak Fidye Yazılımı kıyafeti 2023’ün başlarında sona erdi ve o zamandan beri 250’den fazla kurbanından on milyonlarca ABD dolarını zorlamayı başardı.
Grup-veya bağlı kuruluşları-Cisco ve Sonicwall tarafından geliştirilen internete maruz kalan kenarı ve güvenlik cihazlarını hedeflemek için bir tutkuya sahiptir.
Ayrıca saldırı altında: Sonicwall SMA cihazları
Bu son uyarı, Sonicwall’ın müşterileri yeni ortaya çıkmamış bir güvenlik açığı (CVE-2025-40599) güvenli mobil erişimini (SMA) 210, 410 veya 500V aletlerini etkileyen yeni ortaya çıkarılmamış bir güvenlik açığı (CVE-2025-40599) yamaya çağırmasından bir hafta sonra indi.
Sonicwall’a göre, CVE-2025-40599-kimlik doğrulamalı bir dosya yükleme güvenlik açığı-saldırganlar tarafından kullanıldığına dair bir kanıt yok. Yine de şirket, bu cihazları yöneten kuruluşlara, Google’ın güvenlik uzmanları tarafından tespit edilen ve araştırılan daha önceki bir saldırı kampanyasında tehlikeye girip girmediklerini kontrol etmelerini tavsiye etti.
Google’ın Tehdit İstihbarat Grubu (GTIG), bu kampanyanın ilk adımı Ocak 2025 gibi başlarında başlamış olabilir, ancak saldırganların kalıcı aşırı aşı sarkı/arka kapı ve/veya fidye yazılımlarını yüklemek için sıfır gün güvenlik açığını henüz belirlemediklerini belirlemediler.
Geçen hafta Sonicwall, rootkitin nasıl kaldırılacağı, tehlikeye atılan cihazların nasıl yükseltileceği/yeniden oluşturulacağı, kimlik bilgilerini döndürme ve OTP tohumlarını/bağlarını sıfırlama hakkında tavsiyelerde bulundu. Google’ın araştırmacıları da raporlarını bu kampanyayla ilişkili yeni bir ağ uzlaşma göstergesiyle güncellediler.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!