Akira Ransomware Group’a bağlı tehdit aktörleri, ilk erişim için Sonicwall cihazlarını hedeflemeye devam ettiler.
Siber güvenlik firması Rapid7, özellikle Temmuz 2025’in sonundan bu yana yenilenen Akira fidye yazılımı faaliyeti hakkındaki raporları takip eden son ay boyunca Sonicwall cihazlarını içeren müdahalelerde bir artış gözlemlediğini söyledi.
Sonicwall daha sonra, güvenlik duvarlarına yönelik SSL VPN etkinliğini ortaya çıkardı ve yerel kullanıcı şifrelerinin geçiş sırasında taşındığı ve sıfırlanmadığı bir yıllık güvenlik kusurunu (CVE-2024-40766, CVSS skoru: 9.3) içeriyordu.
Şirket, “Kullanıcı kimlik bilgilerini kaba zorlamaya çalışan aktörlerden artan tehdit faaliyetlerini gözlemliyoruz.” “Riski azaltmak için müşteriler, bilinen tehdit aktörlerini engellemek ve hesap kilitleme politikalarının etkinleştirilmesini sağlamak için BOTNET filtrelemesini etkinleştirmelidir.”
Sonicwall ayrıca, bir Akira fidye yazılımı saldırısı bağlamında yanlış yapılandırılmışsa, LDAP SSL VPN varsayılan kullanıcı gruplarını incelemeye çağırdı.
Bu ayar, Active Directory’deki gerçek üyeliklerinden bağımsız olarak, önceden tanımlanmış her LDAP kullanıcısını otomatik olarak önceden tanımlanmış bir yerel gruba ekler. Bu varsayılan grubun, SSL VPN, idari arayüzler veya sınırsız ağ bölgeleri gibi hassas hizmetlere erişimi varsa, bu hizmetlere meşru ihtiyacı olmayan herhangi bir tehlikeye atılmış reklam hesabı, bu izinleri anında devralacaktır.
Bu, hedeflenen reklam grubu tabanlı erişim kontrollerini etkili bir şekilde atlar ve saldırganlara geçerli kimlik bilgileri alır almaz ağ çevresine doğrudan bir yol verir.
Rapid7, uyarısında, bazı varsayılan konfigürasyonlarda, kamuya erişimi kolaylaştırabilecek ve saldırganların MMFA/TOTP’yi önceden kimlik bilgileri olduğu varsayılarak geçerli hesaplarla yapılandırmasını sağlayabilen Sonicwall cihazları tarafından barındırılan sanal ofis portalına erişen tehdit aktörlerini de gözlemlediğini söyledi.
“Akira grubu potansiyel olarak bu güvenlik risklerinin üçünün de yetkisiz erişim elde etmek ve fidye yazılımı işlemleri yürütmek için bir kombinasyonunu kullanıyor.” Dedi.
Riski azaltmak için, kuruluşların tüm Sonicwall yerel hesaplarındaki şifreleri döndürmeleri, kullanılmayan veya aktif olmayan Sonicwall yerel hesaplarını kaldırmaları, MFA/TOTP politikalarının yapılandırıldığından ve sanal ofis portalının dahili ağa erişimini kısıtlaması önerilir.
Akira’nın Sonicwall SSL VPN’lerini hedeflemesi, cihazlar aracılığıyla fidye yazılımı çetesi savunmasız Avustralya örgütlerine çarpan fidye yazılımına çarpışan Avustralya Siber Güvenlik Merkezi (ACSC) tarafından da tekrarlandı.
Mart 2023’teki ilk çıkışından bu yana Akira, fidye yazılımı tehdidi manzarasında kalıcı bir tehdit oldu ve fidye yazılımından gelen bilgiye göre bugüne kadar 967 kurban olduğunu iddia ediyor. Cyfirma tarafından paylaşılan istatistiklere göre, Akira Temmuz 2025 ayında 40 saldırıdan oluşuyordu ve bu da onu Qilin ve Inc fidye sonrası en aktif grup haline getirdi.
Çeyrek 2025, Qilin, Akira’da bayraklanan dünya çapında endüstriyel varlıkları etkileyen 657 fidye yazılımı saldırısından ve fidye yazılımı aileleri, her biri sırasıyla 101, 79 ve 75 olay bildiren ilk üç yuvayı aldı.
Endüstriyel siber güvenlik şirketi Dragos, geçen ay yayınlanan bir raporda, Akira’nın “sofistike kimlik avı ve çok platform fidye yazılımı dağıtımları yoluyla üretim ve ulaşım sektörlerinin tutarlı hedeflenmesi ile önemli bir faaliyet sağladığını” söyledi.
Son Akira fidye yazılımı enfeksiyonları, daha sonra Bumblebee Malware Yükleyicisini bırakmak için kullanılan popüler BT yönetim araçları için truva atma kuruluşlarına teslim etmek için Arama Motoru Optimizasyonu (SEO) zehirleme tekniklerinden de yararlandı.
Saldırılar daha sonra Bumblebee’yi ADAPTIXC2’nin sömürü sonrası ve düşman emülasyon çerçevesini dağıtmak, kalıcı uzaktan erişim için Rustdesk’i kurmak, verileri dışarı atmak ve fidye yazılımlarını dağıtmak için bir kanal olarak kullanır.
Palo Alto Networks Birimi 42’ye göre, ADAPTIXC2’nin çok yönlü ve modüler doğası, tehdit aktörlerinin enfekte sistemlerde komutları yürütmesine, dosyaları aktarmasına ve veri açığa çıkmasına izin verebilir. Aynı zamanda açık kaynaklı olması, rakipler tarafından ihtiyaçlarına uyacak şekilde özelleştirilebileceği anlamına gelir.
Siber güvenlik şirketi, ADAPTIXC2’yi yayan diğer kampanyalar, Microsoft Teams’in, şüphesiz kullanıcılara hızlı asistan aracılığıyla uzaktan erişim sağlama ve kabuk kodu yükünü belleğe çözen ve yükleyen bir PowerShell komut dosyasını bırakma konusunda taklit eden yardım masasını taklit ettiğini söyledi.
“Akira fidye yazılımı grubu standart bir saldırı akışını takip eder: SSLVPN bileşeni aracılığıyla başlangıç erişimini elde etmek, ayrıcalıkları yükseltilmiş bir hesap veya hizmet hesabına yükseltmek, ağ paylaşımlarından veya dosya sunucularından hassas dosyaları bulmak ve çalmak, Hypervisor seviyesinde ransomware şifreleme şifreleme” dedi.