
Akira fidye yazılımı grubunun aktif olarak sömürdüğü Sonicwall güvenlik duvarı cihazlarında şüpheli bir sıfır günü güvenlik açığı. Kusur, saldırganların Sonicwall’un SSL VPN özelliği aracılığıyla kurumsal ağlara ilk erişim elde etmelerini sağlar ve bu da sonraki fidye yazılımı dağıtımına yol açar.
Temmuz 2025’in sonlarında, güvenlik araştırmacıları sonicwall cihazlarından yararlanan fidye yazılımı saldırılarında önemli bir artış gözlemlediler. Kanıtlar, tamamen yamalı güvenlik duvarlarında bile müdahaleler başarılı olduğu için sıfır gün istismarına dikkat çekiyor.
Bazı durumlarda, saldırganlar çok faktörlü kimlik doğrulamasını (MFA) atladı, bu da standart güvenlik önlemlerini söndüren sofistike bir saldırı vektörünü gösterdi.
15 Temmuz 2025 gibi erken başlayan aktivitedeki son artış, Akira fidye yazılımı çetesine atfedildi. Bu grup, genellikle tipik konut veya işletme internet hizmetleri yerine sanal özel sunucu (VPS) barındırma sağlayıcılarıyla ilişkili IP adreslerinden Sonicwall SSL VPN’lerine giriş yapmak için tehlikeye atılmış kimlik bilgileri kullanılarak gözlemlenmiştir.
İlk VPN ihlali ile fidye yazılımlarının dağıtılması arasındaki süre oldukça kısadır ve kurbanlara tepki vermeleri için çok az zaman verir. En azından Ekim 2024’ten beri kötü niyetli VPN girişleri gözlemlenirken, en son kampanya belirgin bir yükseliş gösteriyor.
Patched bir güvenlik açığı olasılığı yüksek göz önüne alındığında, Arktik Wolf, resmi bir yama geliştirilip konuşlandırılana kadar Sonicwall SSL VPN hizmetini hemen devre dışı bırakmaları için kuruluşlar için birincil öneri yayınladı. Bu sert adımın, başlangıç erişimini ve sonraki ağ uzlaşmasını önlemesi için tavsiye edilir.
Bu kritik önlemin yanı sıra, güvenlik uzmanları güvenlik duvarı güvenliğini sertleştirmek için genel en iyi uygulamaları yinelemişlerdir. Sonicwall, BotNet koruması gibi güvenlik hizmetlerinin etkinleştirilmesini, tüm uzaktan erişim hesaplarında MFA’nın uygulanmasını ve periyodik güncellemelerle iyi şifre hijyeninin uygulanmasını önerir.
Ayrıca, yöneticilere saldırı yüzeyini azaltmak için özellikle VPN erişimi olanlar gibi etkin olmayan veya kullanılmayan yerel kullanıcı hesaplarını kaldırmaları tavsiye edilir.
Kuruluşlar ayrıca, bu kötü niyetli kampanyayla ilişkilendirilmiş olan barınma ile ilgili belirli özerk sistem numaralarının (ASN) listesinden kaynaklanan VPN kimlik doğrulama girişimlerini engellemeye teşvik edilmektedir.
Bu ağlar doğal olarak kötü niyetli olmasa da, VPN kimlik doğrulaması için kullanımları bu bağlamda oldukça şüphelidir.
Arctic Wolf Labs kampanya ile ilgili soruşturmaya devam ediyor ve mevcut olduklarında daha fazla ayrıntı paylaşacak. Bu arada, Sonicwall güvenlik duvarlarını kullanan kuruluşların güvenlik duruşlarını gözden geçirmeleri ve bu aktif tehdidi azaltmak için derhal harekete geçmeleri istenir.
Sonicwall’un SMA 100 serisinden ömür sonu cihazları, araştırmacılar, şüpheli sıfır gün uzaktan kodu yürütme kırılganlığını aşma olarak bilinen sofistike bir arka kapı ile birleştiren gizli bir kampanyayı ortaya çıkardıktan sonra bir kez daha vurgulandı.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches