Sonicwall, Temmuz 2025’in sonlarında Akira fidye yazılımı aktörlerinde bir artış raporlarının ardından yeni bir sıfır gün güvenlik açığı olup olmadığını belirlemek için raporları aktif olarak araştırdığını söyledi.
Ağ güvenlik satıcısı yaptığı açıklamada, “Son 72 saat içinde, SSLVPN’nin etkinleştirildiği Gen 7 Sonicwall güvenlik duvarlarını içeren hem dahili hem de harici olarak bildirilen siber olaylarda dikkate değer bir artış oldu.” Dedi.
Diyerek şöyle devam etti: “Bu olayları daha önce açıklanmış bir güvenlik açığına bağlı olup olmadığını veya yeni bir güvenlik açığının sorumlu olup olmadığını belirlemek için aktif olarak araştırıyoruz.”
Sonicwall daha derine inerken, Gen 7 Sonicwall güvenlik duvarlarını kullanan kuruluşların bir sonraki duyuruya kadar aşağıdaki adımları izlemeleri tavsiye edilir –
- Pratik yerlerde SSL VPN hizmetlerini devre dışı bırakın
- SSL VPN bağlantısını güvenilir IP adresleriyle sınırlayın
- Botnet koruması ve GEO-IP filtreleme gibi hizmetleri etkinleştirin
- Çok faktörlü kimlik doğrulamasını zorunlu kılın
- Güvenlik duvarındaki etkin olmayan veya kullanılmayan yerel kullanıcı hesaplarını, özellikle SSL VPN erişimi olanları kaldırın
- Tüm kullanıcı hesaplarında düzenli şifre güncellemelerini teşvik edin
Arctic Wolf’un, geçen ayın sonundan bu yana ilk erişim için Sonicwall SSL VPN cihazlarını hedefleyen Akira fidye yazılımı etkinliğinde bir artış tespit ettiğini açıklamasından kısa bir süre sonra gelişim geliyor.
Huntress, Pazartesi günü yayınlanan bir takip analizinde, tehdit aktörlerinin ilk ihlalden sadece birkaç saat sonra doğrudan alan denetleyicilerine döndüğünü gözlemlediğini söyledi.
Saldırı zincirleri, Sonicwall cihazının ihlali ile başlar ve ardından numaralandırma, tespit kaçakçılığı, yanal hareket ve kimlik gerçeği hırsızlığı yapmak için “iyi giyilen” bir sömürü sonrası yol alan saldırganlar izler.
Olaylar ayrıca, Microsoft Defender Antivirus’u metodik olarak devre dışı bırakmayı ve Akira Fidye Yazılımını dağıtmadan önce Volume Shadow kopyalarını silmeyi de içerir.
Huntress, 25 Temmuz 2025’ten itibaren en son saldırı dalgasına bağlı yaklaşık 20 farklı saldırı tespit ettiğini ve kasıtlı, screenconnect veya SSH gibi keşif ve kalıcılık araçlarının kullanılması da dahil olmak üzere onları çekmek için kullanılan varyasyonlarla tespit ettiğini söyledi.
Etkinliğin SSL VPN etkinleştirilmiş TZ ve NSA Serisi Sonicwall Güvenlik Duvarları ile sınırlı olabileceğini ve şüpheli kusurun 7.2.0-7015 ve önceki ürün yazılımı sürümlerinde bulunduğunu gösteren kanıtlar vardır.
Siber güvenlik şirketi, “Bu saldırıların hızı ve başarısı, MFA etkinleştirilmiş ortamlara karşı bile, vahşi doğada sıfır günlük bir güvenlik açığının kullanıldığını şiddetle öneriyor.” Dedi. “Bu kritik, devam eden bir tehdit.”