Güvenlik ekipleri, dört saatin altında Akira fidye yazılımı sunmak için Sonicwall SSL VPN kimlik bilgilerini tehlikeye atan hızla gelişen bir kampanya ile karşı karşıya.
Başarılı kimlik doğrulamasının birkaç dakika içinde-genellikle barındırma ile ilgili ASNS’den kaynaklanan-Treat aktörleri liman taramalarını başlattı, keşif için kaldıraçlı iticip SMB araçları ve Akira fidye yazılımlarını çeşitli ortamlara yerleştirdi.
Hedefler, küçük işletmelerden birden fazla sektördeki büyük kuruluşlara kadar değişiyordu ve bu da fırsatçı, geniş çaplı bir sömürü gösteriyor. Bu kampanyaya bağlı yeni kötü niyetli altyapı, 20 Eylül 2025 kadar yakın zamanda gözlemlenmeye devam etti.
Sonicwall, bu yetkisiz girişleri Eylül 2024’te açıklanan uygunsuz bir erişim kontrolü kusuru olan CVE-2024-40766’nın sömürülmesine bağlar.
2025 Temmuz ayı sonlarında, Arktik Wolf Labs, Sonicwall SSL VPN hizmetlerine karşı şüpheli giriş girişimlerinin arttığını tespit etti.
Korunmasız cihazlardan hasat edilen kimlik bilgileri, yamalı güvenlik duvarlarında bile geçerli kalıyor gibi görünerek saldırganların tek seferlik-password (OTP) çok faktörlü kimlik doğrulamasını atlamasını ve MFA korumalı hesaplara karşı kimlik doğrulaması yapmalarını sağlıyor.
Sonicwall Ağustos 2025 bildirimi, MFA tohumlarının kabarıkla güçlendirilebileceğini veya çevrimdışı olarak elde edilebileceğini doğruladı ve MFA bağlama veya konfigürasyon kurcalama kanıtı olmadan meşru görünümlü girişlere izin verdi.
İlk erişim, beklenen geniş bant veya SD-WAN kökenlerinden ziyade sanal özel sunucu altyapısından SSL VPN istemci girişlerini tutarlı bir şekilde içeriyordu.
Birkaç olayda, LDAP senkronize edici hesaplar – asla uzaktan VPN erişimi için tasarlanmadı – başarıyla kimlik doğrulaması gözlemlendi. Hemen hemen, müdahaleler iç ağ keşiflerine ilerledi.
Geçici dizinlerden yürütülen gelişmiş IP tarayıcı ve softperfect ağ tarayıcısı gibi meşru araçlar, ardından RPC, Netbios, SMB ve SQL bağlantı noktalarını hedefleyen impacket tarzı SMBV2 oturum kurulum istekleri.
Active Directory numaralandırması daha sonra kullanıcı, bilgisayar ve paylaşım bilgilerini hasat etmek ve paylaşmak için yerleşik yardımcı programlardan (NLTest, DSQuery) ve PowerShell CMDlets’i (Get-Aduser, Get-Adcomputer) kullandı.
Çok sayıda durumda, saldırganlar, hem MSSQL hem de PostgreSQL örneklerinin hedeflenmesi olan veeam yedekleme ve çoğaltma veritabanlarından yedekleme kimlik bilgilerini çıkarmak için SQLCMD ve Custom PowerShell komut dosyalarını kullandı.
Çıkarılan kimlik bilgileri, yerel ve etki alanı hesabı oluşturmayı, uzaktan erişim araçlarının (AnyDesk, TeamViewer, Rustesk) kurulumu ve kalıcı erişim için SSH ters tünelleri veya Cloudflare Tünel hizmetlerinin kurulmasını kolaylaştırdı.
Tespitten kaçınmak için, tehdit aktörleri meşru RMM yazılımını devre dışı bıraktı, Volume Gölge Kopya Anlık Görüntüleri’ni sildi ve kullanıcı hesabı kontrolünü devre dışı bırakmak için kayıt defteri ayarlarını kullandı.
Kendi vulnerable-sürücü tekniklerini getirin Microsoft’un rızasını yeniden paketledi. Kötü niyetli DLL’ler içindeki coğrafi işleme mantığı, Doğu Avrupa bölgelerini hariç tutarak hedefli bir niyet önerdi.
Veri sahneleme, son dosyaları 3 GB parçalara ayırmak için Winrar’dan kaldırıldı, ardından RCLone veya Filezilla SFTP aracılığıyla saldırgan kontrollü VPS sunucularına eksfiltrasyon.
Akira şifreleme ikili dosyaları – akira.exe, locker.exe veya w.exe olarak adlandırıldı – sonra sürücüleri ve ağ paylaşımlarını saatler içinde şifreledi. Bazı müdahalelerde, şifreleme ilk erişimden 55 dakika sonra başladı.
Öneriler
- OTP tohumları dahil CVE-2024-40766’ya karşı savunmasız olan ürün yazılımını çalıştıran cihazlarda tüm SSL VPN ve LDAP senkronize kimlik bilgilerini sıfırlayın.
- VPN girişlerini barındırma ASN’leri ve anonimleştirme hizmetlerini engelleyin veya izleyin.
- İmpacket tarzı SMBV2 oturum kurulumları için ağ tabanlı algılama uygulayın.
- Geçici ve kullanıcı tarafından karşılanabilir dizinlerden yürütmeyi reddetmek için uygulama kontrolünü zorlayın.
- VPN kimlik doğrulamasını SSO/SAML aracılığıyla merkezi kimlik sağlayıcılarıyla kısıtlayarak, güvenlik duvarı cihazlarından kimlik bilgisi yönetimini izole eder.
- Kimlik bilgisi sıfırlamalarının gerekli olup olmadığını belirlemek için MySonicWall Bulut Yedekleme Olayı İyileştirmesini inceleyin.
Erken algılama kritiktir: anormal VPN giriş modelleri, ASN kökenleri barındırma ve beklenmedik KOBİ keşif etkinliği, şifrelemeden önce bu kampanyayı kesintiye uğratmak için en iyi fırsatları sağlar.
IRP paketlerini kullanarak, kötü amaçlı yazılımlar belirli güvenlik işlemlerini (örn., Msmpeng.exe ve securityhealthservice.exe) tanımlar ve ardından bunları devre dışı bırakmak için çekirdek düzeyinde Windows Erişim Kontrol Listeleri’ni (ACL’ler) silahlandırır.
Kuruluşlar, Edge cihazları için kimlik bilgisi güvenliğini gerekli görmeli ve tek başına yama yapmanın kimlik bilgileri sıfatları ve sağlam izleme olmadan yetersiz olduğunu varsaymalıdır.
Arctic Wolf Labs, tespitleri iyileştirmek ve daha fazla sömürüye karşı korumak için Sonicwall ve güvenlik topluluğu ile işbirliği yaparak bu tehdidi izlemeye devam ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.