От края на юли хардуерните защитни стени на SonicWall все по-често се превръщат в мишена на рансъмуер вируса Akira. Според специалисти от Arctic Wolf, може да се говори за серийна експлоатация на уязвимост от типа zero-day.
Рансъмуерът Akira е забелязан за първи път през март 2023 г. През последните две години неговите оператори публикуваха данни, извлечени от 300 организации, на своя сайт за „течове” в тъмната мрежа.
Същата група пое отговорност за атаки срещу такива мащабни цели като представителствата на Nissan в Океания и Австралия, Hitachi Corporation и Станфордския университет. Според ФБР, до април 2024 г. операторите на Akira вече са получили над 42 милиона долара от своите жертви.
Изследователи на сигурността от Arctic Wolf Labs посочват, че от 15 юли насам са успели да регистрират няколко успешни атаки, в резултат на които нападателите са получили неоторизиран достъп до защитните стени на SonicWall чрез SSL VPN връзки.
Версията за използване на неизвестна уязвимост остава основната. Но все още не може да се изключи, че нападателите разполагат с данните за достъп на администраторите на атакуваните устройства. Arctic Wolf не изключва също атаки с груба сила и атаки с речник.
Във всички случаи нападателите незабавно стартират криптиране на данните. Този модел се наблюдава от октомври 2024 г., което показва продължаваща целенасочена кампания.
Изследванията на Arctic Wolf показват, че операторите на Akira са използвали виртуални частни сървъри (VPS) за VPN удостоверяване. Легитимните VPN връзки обикновено произхождат от IP адреси на редовни доставчици на широколентов интернет.
Кампанията Akira все още се разследва. Окончателната версия ще бъде оповестена публично, когато изследователите по сигурността разполагат с повече информация.
Тъй като вероятно се експлоатира уязвимост от типа „нулев ден” в продуктите на SonicWall, Arctic Wolf препоръчва на администраторите временно да деактивират SSL VPN услугите в защитните стени от тази компания. Те също така трябва да затегнат защитата на легитимния достъп, да активират наблюдение на крайните точки и да блокират VPN удостоверяване от доставчици на хостинг услуги.
Докладът на Arctic Wolf идва само седмица след като SonicWall предупреди клиентите спешно да актуализират своите устройства от серията SMA 100, поради критична уязвимост (CVE-2025-40599), която може да се използва за изпълнение на произволен код на незащитени устройства.
Според компанията, нападателят ще се нуждае от администраторски права, за да използва уязвимостта CVE-2025-40599. Към момента няма доказателства за активно използване на този „бъг”.
SonicWall обаче силно препоръчва на клиентите да осигурят цялата необходима защита на устройствата SMA 100, тъй като те вече са се превърнали в цел за хакери, опитващи се да инсталират руткита OVERSTEP.
Предполага се, че нападателите са използвали откраднати идентификационни данни до защитните стени SonicWall, които вече се продават в тъмната мрежа. Това подкрепя версията за компрометиране на идентификационни данни от оператори на Akira.
SonicWall силно препоръчва на собствениците на виртуални и физически SMA 100 устройства да проверят за признаци на компрометиране (IoC), посочени в доклада на Google Threat Intelligence Group.
Администраторите трябва да анализират лог файловете за неоторизиран достъп или подозрителна активност и незабавно да се свържат с техническата поддръжка на SonicWall, ако бъдат открити следи от атака.
