Sonicwall güvenlik duvarlarını kullanan organizasyonları hedefleyen yeni bir siber saldırı dalgası, Temmuz 2025’in sonlarından bu yana Akira Fidye yazılımını aktif olarak konuşlandırıyor.
Arctic Wolf Labs’taki güvenlik araştırmacıları, bu etkinlikte devam eden bir artış tespit etti. Tehdit aktörleri, kötü niyetli SSL VPN girişleri aracılığıyla ilk erişim elde ediyor, çok faktörlü kimlik doğrulama (MFA) başarıyla atlıyor ve daha sonra saatler içinde verileri şifrelemek için hızla hareket ediyorlar.
Kampanya, çeşitli sektörlerdeki kurbanları etkileyen fırsatçı bir kitle sömürüsü gibi görünüyor. İlk giriş noktası, genellikle tipik kurumsal ağlar yerine sanal özel sunucu (VPS) barındırma sağlayıcılarından kaynaklanan bir Sonicwall SSL VPN’ye kötü niyetli bir giriştir.
Endişe verici bir şekilde, saldırganlar Sonicwall’un bir kerelik şifre (OTP) MFA özelliği ile korunan hesaplara karşı başarıyla doğrulandı.
Sonicwall, bu kötü niyetli girişleri 2024’te açıklanan uygunsuz bir erişim kontrol güvenlik açığı olan CVE-2024-40766’ya bağladı.
Çalışma teorisi, tehdit aktörlerinin daha önce savunmasız olan ve şimdi bu kampanyada kullanan cihazlardan kimlik bilgilerini topladığı ve cihazlar yamalanmış olsa bile.
Bu, başlangıçta potansiyel bir sıfır günlük istismar hakkında spekülasyona yol açan bir gerçek olan tam yamalı cihazların neden tehlikeye atıldığını açıklıyor.
Bir ağın içine girdikten sonra, saldırganlar dikkate değer bir hızla çalışır. Arctic Wolf, ilk erişimin fidye yazılımı dağıtımına “bekleme süresi” olarak bilinen sürenin genellikle saatler içinde ölçüldüğünü ve bazı müdahalelerin 55 dakika kadar kısa sürdüğünü söyledi. Yanıt için bu son derece kısa pencere, erken algılamayı kritik hale getirir.
Saldırı dizisi
Saldırganlar, OTP MFA’yı atlayarak Sonicwall SSL VPN’lerine giriş yapmak için uzlaşmış kimlik bilgilerini kullanır. Giriş yaptıktan birkaç dakika sonra, saldırganlar SMB (445), RPC (135) ve SQL (1433) gibi açık bağlantı noktaları için dahili ağ taramasına başlar. Keşif ve yanal hareket için ithal, softperfect ağ tarayıcı ve gelişmiş IP tarayıcı gibi araçlar kullanırlar.
Tehdit aktörleri yeni yönetici hesapları oluşturur, mevcut hesaplar için ayrıcalıkları artırır ve erişimi sürdürmek için AnyDesk, TeamViewer ve Rustesk gibi uzaktan yönetim araçlarını yükler. Ayrıca SSH ters tünelleri ve Cloudflare tünellerini kullanarak kalıcılık oluştururlar.
Tespit edilmemiş çalıştırmak için saldırganlar, Windows Defender ve diğer EDR çözümleri gibi uç nokta güvenlik ürünlerini devre dışı bırakmaya çalışır. Çekirdek düzeyinde güvenlik yazılımına karşı kurcalamak ve sistem restorasyonunu önlemek için hacim gölge kopyalarını silmek için bir “kendi adlandırıcı sürücü getirin” (BYOVD) tekniği kullanırlar.
Şifrelemeden önce saldırganlar hassas veriler çalıyor. Winrar kullanarak dosyaları paketler ve bunları gibi araçlarla dışarı atarlar. rclone ve FileZilla. Son olarak, Akira Fidye Yazılımını (adlandırılan yürütülebilir ürünleri kullanarak akira.exe veya locker.exe) ağ sürücülerini şifrelemek ve bir fidye talep etmek.
Arctic Wolf, Sonicwall cihazlarını kullanan kuruluşların derhal harekete geçmesini önerir. En kritik adım, ilgili Active Directory hesapları da dahil olmak üzere, özellikle cihazlar CVE-2024-40766’ya karşı savunmasız olan ürün yazılımını çalıştırmışsa, tüm SSL VPN kimlik bilgilerini sıfırlamaktır. Kimlik bilgileri zaten tehlikeye atılmışsa, tek başına yama yapmak yetersizdir.
Organizasyonlar ayrıca barındırma sağlayıcılarından şüpheli VPN girişlerini izlemeli ve ithal kullanımını gösteren anormal KOBİ aktivitesi aramalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
