Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Akira Fidye Yazılımı Hackerları SonicWall Cihazlarını Hedef Alıyor
Akhabokan Akan (Athokan_Akhsha) •
10 Ekim 2025
Güvenlik duvarı üreticisi SonicWall Cuma günü yaptığı açıklamada, bulut yedekleme hizmetlerini kullanan tüm müşterilerin yakın zamanda gerçekleşen bir siber saldırının ardından “hedefli saldırı riskinde” artış olduğunu söyledi.
Ayrıca bakınız: En Son MITRE ATT&CK Değerlendirmelerine İlişkin Tam Kılavuz
California firması eylül ayında kimliği belirsiz bilgisayar korsanlarının yedek dosyaları depolayan sunuculara kaba kuvvet saldırıları başlattığını açıkladı. Soruşturmasını Cuma günü tamamlayan şirket, bilgisayar korsanlarının MySonicWall.com bulut yedekleme hizmetini kullanan tüm müşterilerin yapılandırma yedekleme dosyalarına eriştiğini söyledi. Şirket başlangıçta bilgisayar korsanlarının müşteri tabanının yalnızca yaklaşık %5’inin yapılandırma verilerini çaldığını iddia etti (bkz.: Bilgisayar Korsanları SonicWall Güvenlik Duvarı Yapılandırmalarını Çaldı).
Şirket, “Dosyalar şifrelenmiş kimlik bilgileri ve yapılandırma verileri içeriyor; şifreleme yürürlükte kaldığı sürece bu dosyalara sahip olmak, hedefli saldırı riskini artırabilir” dedi.
Güvenlik firması Artic Wolf, çalınan dosyaların bilgisayar korsanlarına “kullanıcı, grup ve etki alanı ayarları, DNS ve günlük ayarları ve sertifikalar gibi kritik bilgileri” verebileceğini söyledi.
SonicWall Cuma günü ek güvenlik sıkılaştırma önlemleri yayınladı. Bunlar, sembol dışa aktarımı veya EXP dosyasının HTTPS üzerinden MySonicWall Bulut Yedekleme API’sine aktarılmasını ve dosyanın saklanmadan önce şifrelenip sıkıştırılmasını içerir.
Şirket, bulut altyapısını ve izleme sistemlerini daha da geliştirmek için Google Mandiant ile birlikte çalıştığını söyledi. SonicWall ve Mandiant, yorum talebine hemen yanıt vermedi.
SonicWall daha önce son saldırının bir fidye yazılımı olayı olmadığını söylemişti. Güvenlik firması Rapid7, SonicWall SonicOS yönetim erişimini ve VPN örneklerini etkileyen bir kimlik doğrulama güvenlik açığı olan CVE-2024-40766’yı kullanarak SonicWall cihazlarını hedef alan Akira fidye yazılımını kullanan bir bilgisayar korsanını gözlemledi.
ArticWolf, eylül ayı sonlarında, temmuz ayında bilgisayar korsanlarının Akira kripto kilitleme kötü amaçlı yazılımını dağıtmak için kötü niyetli SSL VPN oturum açma bilgileri aracılığıyla SonicWall cihazlarına erişim elde etme sayısında bir artış olduğunu fark etmeye başladığını söyledi.
Darktrace Perşembe günü yaptığı açıklamada, Amerika Birleşik Devletleri’ndeki SonicWall müşterilerini hedef alan Akira ağ tarama ve keşif, yanal hareket, ayrıcalık yükseltme ve veri sızıntısında bir artış tespit ettiğini söyledi.
Akira kampanyasının Darktrace tarafından yapılan analizi, grubun büyük olasılıkla gigabaytlarca veriyi sızdırmak için SonicWall VPN cihazlarını kullandığını öne sürüyor.
Darktrace ayrıca Akira bilgisayar korsanlarının SonicWall müşterilerini tehlikeye atmak için muhtemelen diğer üç yanlış yapılandırmadan yararlandığını söyledi. Bunlar, parola sıfırlaması olmayan yerel kullanıcı hesaplarıyla ilgili yanlış yapılandırmaları, varsayılan kullanıcı gruplarının etkinleştirildiği SSL VPN örneklerini ve açığa çıkan sanal ofis portallarını içerir. Bu yanlış yapılandırmalar, saldırganların çalınan kimlik doğrulama bilgilerini yeniden kullanmasına, erişim kazanmak için Active Directory’yi atlamasına ve daha önce açığa çıkan parolalar için belirteçleri doğrulamasına olanak tanıyabilir.