В конце июля 2025 года специалисты компании Arctic Wolf зафиксировали резкий рост активности группировки Akira, которая атакует корпоративные сети через уязвимость в фаерволах SonicWall. Исследователи обнаружили признаки эксплуатации 0-day уязвимости, позволяющей злоумышленникам обходить многофакторную аутентификацию и проникать в защищённые системы, несмотря на наличие последних обновлений безопасности.
Описание
Анализ атак показал, что злоумышленники активно используют SSL VPN в качестве точки входа, после чего быстро разворачивают шифровальщик. При этом в некоторых случаях хакерам удалось скомпрометировать учётные записи, защищённые TOTP MFA, а также полностью обновлённые устройства, на которых были изменены учётные данные. Это исключает традиционные методы взлома, такие как брутфорс, подбор словарём или перебор утекших паролей, и указывает на наличие уязвимости, позволяющей обходить защитные механизмы.
Первые признаки активности группировки Akira через SonicWall SSL VPN были замечены ещё в октябре 2024 года, однако резкий всплеск произошёл после 15 июля 2025 года. В течение короткого промежутка времени было зафиксировано несколько последовательных проникновений, каждое из которых заканчивалось шифрованием данных. Важно отметить, что атакующие используют инфраструктуру VPS-хостинга для VPN-аутентификации, в отличие от стандартных подключений, которые обычно происходят через сети интернет-провайдеров.
Организации, использующие SonicWall SSL VPN, оказались в зоне повышенного риска. Arctic Wolf рекомендует временно отключить данный функционал до выхода официального патча, а также усилить мониторинг сетевой активности на предмет подозрительных подключений. В частности, следует обратить внимание на попытки аутентификации с ASN, связанных с хостинг-провайдерами, такими как ReliableSite.Net LLC, Global Connectivity Solutions LLP и другими.
Компания продолжает расследование и обещает предоставить дополнительные детали по мере поступления информации. Тем временем корпоративным пользователям SonicWall необходимо срочно пересмотреть систему безопасности и принять дополнительные меры защиты, учитывая высокую вероятность успешной эксплуатации уязвимости злоумышленниками.
Эта ситуация вновь поднимает вопрос о надёжности VPN-решений как основного механизма защиты корпоративных сетей. Несмотря на широкое распространение SSL VPN, подобные инциденты демонстрируют, что даже современные системы аутентификации могут быть скомпрометированы при наличии уязвимостей нулевого дня. Пока SonicWall не выпустит официальное исправление, компании остаются уязвимыми перед атаками группировки Akira и других киберпреступных объединений, использующих аналогичные методы.
По данным Arctic Wolf, атаки носят скоординированный характер, что позволяет предположить чётко организованную кампанию, а не случайные взломы. Это делает угрозу ещё более опасной, так как группировка, вероятно, продолжит активность, пока уязвимость не будет устранена. В сложившейся ситуации критически важно не только следовать рекомендациям по защите, но и обеспечивать максимальную прозрачность и оперативность реагирования на инциденты.
Кибербезопасность остаётся динамичной сферой, где даже проверенные технологии могут стать слабым звеном. Инцидент с SonicWall SSL VPN лишний раз подтверждает необходимость многослойной защиты и постоянного мониторинга угроз, особенно в условиях, когда злоумышленники находят новые способы обхода традиционных механизмов безопасности. Последующие события покажут, насколько быстро производители и пользователи смогут адаптироваться к этой новой угрозе.
Индикаторы компрометации
ASN
- AS23470 – ReliableSite.Net LLC.
- AS215540 – Global Connectivity Solutions LLP.
- AS64236 – UnReal Servers, LLC.
- AS14315 – 1GSERVERS, LLC.
- AS62240 – Clouvider Limited.
