Активизация кампании Akira ransomware через уязвимости SonicWall

С конца июля 2025 года эксперты Arctic Wolf наблюдают значительный рост активности вымогателя Akira, атакующего межсетевые экраны SonicWall через компрометацию SSL VPN. Эта продолжающаяся кампания демонстрирует высокую скорость распространения и представляет серьезную угрозу для организаций различных отраслей.

Описание

Кампания характеризуется использованием уязвимости CVE-2024-40766, связанной с нарушением контроля доступа, которая была обнаружена год назад. Злоумышленники получают первоначальный доступ через вредоносные SSL VPN подключения с успешным прохождением OTP многофакторной аутентификации. Особенностью атак является чрезвычайно короткое время пребывания в системе - обычно измеряемое часами, что значительно сокращает окно для эффективного реагирования.

В течение нескольких минут после успешного входа злоумышленники приступают к сканированию портов и демонстрируют аномальную активность SMB, указывающую на использование инструмента Impacket для разведки и горизонтального перемещения. Жертвы кампании распределены across различные секторы и организации разного размера, что свидетельствует о массовой эксплуатации уязвимости.

Исследователи обнаружили, что учетные данные, потенциально полученные с устройств, уязвимых к CVE-2024-40766, могли быть использованы злоумышленниками даже после установки обновлений прошивки. Это создает уникальную ситуацию, когда патчинг не обеспечивает полной защиты без дополнительных мер.

Технический анализ показал, что злоумышленники успешно аутентифицируются против учетных записей с включенной OTP MFA функцией. Хотя точный метод обхода многофакторной аутентификации остается неясным, исследователи исключили использование скретч-кодов и несанкционированные изменения конфигурации OTP в изученных случаях.

После получения доступа злоумышленники быстро переходят к обнаружению Active Directory с использованием встроенных инструментов и специализированного ПО, включая SharpShares, NetExec и BloodHound. Особое внимание уделяется извлечению учетных данных виртуальных машин из систем резервного копирования Veeam, что позволяет получить доступ к конфиденциальным данным и доменным учетным данным.

Для обеспечения устойчивости злоумышленники создают локальные административные учетные записи, устанавливают инструменты удаленного управления (RMM), включая AnyDesk и TeamViewer, а также используют SSH reverse tunnels и Cloudflare Tunnel для обхода сетевых ограничений. Наблюдаются сложные методы уклонения от защиты, включая технику BYOVD с использованием подписанных Microsoft драйверов.

Эксперты подчеркивают критическую важность раннего обнаружения для предотвращения шифрования данных. Мониторинг подключений SSL VPN с IP-адресов хостинг-провайдеров и выявление активности атакующих в сети позволяют прервать атаку на ранней стадии.

SonicWall рекомендует обновить все устройства до версии SonicOS 7.3.0 для защиты от атак перебора и MFA атак, однако исследователи отмечают случаи успешного проникновения даже на обновленных устройствах. Ключевой мерой защиты остается сброс всех учетных данных SSL VPN на устройствах SonicWall, когда-либо работавших на уязвимых версиях прошивки.

Кампания продолжает развиваться, при этом новая инфраструктура, связанная с атаками, наблюдалась вплоть до 20 сентября 2025 года. Организациям рекомендуется применять комплексный подход к безопасности, включая блокировку подключений из географически нетипичных регионов и использование систем обнаружения вторжений для мониторинга подозрительной активности в реальном времени.