Атака Akira на SonicWall: Darktrace обнаружила и остановила кампанию вымогателей

20 августа 2025 года Darktrace зафиксировала подозрительную активность в сети американского клиента. Система обнаружила сканирование сети, перемещение внутри неё, повышение привилегий и эксфильтрацию данных. Одним из скомпрометированных устройств оказался VPN-сервер SonicWall, что указало на связь инцидента с общей кампанией Akira. Благодаря подписке на услугу Managed Detection and Response (MDR), группа Security Operations Centre (SOC) Darktrace оперативно отреагировала на критически важные оповещения, ограничила активность затронутых устройств и уведомила клиента об угрозе. В результате воздействие атаки было минимизировано: хотя примерно 2 ГБ данных покинули сеть, дальнейшая эскалация вредоносной активности была остановлена.

Akira, впервые обнаруженный в марте 2023 года, быстро стал одним из самых распространенных видов вымогателей. Группа работает по модели Ransomware-as-a-Service (RaaS) и часто прибегает к тактике двойного вымогательства, оказывая давление на жертв не только через шифрование файлов, но и через угрозу публикации конфиденциальных данных. Изначально нацеленный на системы Windows, вымогатель позже обзавелся вариантом для Linux, атакующим виртуальные машины VMware ESXi. В 2024 году прогнозировалось продолжение атак на гипервизоры ESXi, что делает их высоко деструктивными из-за ключевой роли виртуализации в крупномасштабных облачных развертываниях.

Тактика, техники и процедуры (TTP) Akira хорошо документированы. Для первоначального доступа злоумышленники используют уязвимости или украденные учетные данные, нацеливаясь на службы удаленного доступа, такие как RDP и VPN. Для разведки применяются сетевые сканеры вроде SoftPerfect и Advanced IP Scanner. Перемещение внутри сети осуществляется с помощью легитимных административных инструментов, обычно через RDP. Для сохранения доступа используются методы Kerberoasting и pass-the-hash, а также инструменты вроде Mimikatz для извлечения учетных данных. Управление и контроль осуществляются через удаленные инструменты доступа, включая AnyDesk, RustDesk, Ngrok и Cloudflare Tunnel. Эксфильтрация данных проводится с помощью FileZilla, WinRAR, WinSCP и Rclone через протоколы FTP и SFTP или облачные хранилища вроде Mega.

В обнаруженном инциденте Darktrace сначала зафиксировала необычную активность около 05:10 UTC, когда настольное устройство выполнило сканирование сети и сделало аномальное количество DCE-RPC запросов к службе endpoint mapper (epmapper). Затем то же устройство проявило необычное использование административных инструментов, включая инициирование редкого исходящего соединения Windows Remote Management (WinRM) к двум контроллерам домена. Было также зафиксировано подключение через RDP к устройству ESXi с использованием учетных данных службы LDAP, вероятно, с административными привилегиями.

Примерно в 06:26 UTC настольное устройство получило сертификат Active Directory от контроллера домена, сделав DCE-RPC запрос к службе ICertPassage. Вскоре после этого устройство выполнило вход Kerberos с использованием административных учетных данных. Дальнейшее расследование журналов событий устройства выявило цепочку соединений, указывающую на технику доступа к учетным данным, известную как «UnPAC the hash». Этот метод начинается с предварительной аутентификации с использованием Public Key Cryptography for Initial Authentication (PKINIT) в Kerberos, позволяя клиенту использовать сертификат X.509 для получения Ticket Granting Ticket (TGT) от Key Distribution Center (KDC) вместо пароля. Следующий этап включает аутентификацию User-to-User (U2U) при запросе Service Ticket (ST) от KDC. Возвращенный ST содержит NTLM-хэш учетных данных, который затем может быть извлечен и использован для перемещения внутри сети или повышения привилегий.

Darktrace идентифицировала эту модель как высоко необычную. Cyber AI Analyst определил, что устройство использовало как минимум 15 различных учетных данных для входов Kerberos в течение атаки. Скомпрометировав множество учетных данных, злоумышленник, вероятно, стремился повысить привилегии и облегчить дальнейшую вредоносную активность. Один из учетных данных, полученных с помощью техники «UnPAC the hash», позже был использован в сеансе RDP к контроллеру домена.

В 06:44 UTC контроллер домена инициировал соединение с temp[.]sh, службой временного облачного хостинга, часто используемой злоумышленниками для размещения и распространения вредоносных нагрузок, включая вымогателей. Вскоре после этого устройство ESXi загрузило исполняемый файл с именем «vmwaretools» с редкого внешнего endpoint 137.184.243[.]69 с использованием пользовательского агента «Wget». Повторные исходящие соединения на этот IP указывали на потенциальную активность командования и управления (C2).

Первые признаки эксфильтрации данных были замечены около 07:00 UTC. И контроллер домена, и, вероятно, устройство VPN SonicWall загрузили примерно 2 ГБ данных через SSH на редкий внешний endpoint 66.165.243[.]39. Источники открытой разведданной (OSINT) впоследствии идентифицировали этот IP как индикатор компрометации (IoC), связанный с группой вымогателей Akira и используемый ею для эксфильтрации данных.

На протяжении всей атаки Cyber AI Analyst автономно исследовал аномальную активность по мере её развития и коррелировал связанные события в единый инцидент. Такой целостный взгляд позволил клиенту понять полный масштаб атаки, включая все связанные активности и затронутые активы, которые в ином случае могли бы быть упущены как несвязанные.

В ответ на множественные аномальные действия Darktrace's Autonomous Response инициировал целевые меры сдерживания для ограничения атаки. Это включало блокировку соединений с известными вредоносными или редкими внешними endpoint, блокировку внутреннего трафика на чувствительные порты и принудительную блокировку всех исходящих соединений с затронутых устройств. Поскольку клиент был подписчиком MDR, множественные оповещения Enhanced Monitoring вызвали немедленное расследование со стороны группы SOC Darktrace. Определив, что активность, вероятно, связана с атакой вымогателей Akira, аналитики Darktrace быстро среагировали для сдерживания угрозы. Около 08:05 UTC устройства, подозреваемые в компрометации, были изолированы, и клиент был немедленно уведомлен, что позволило ему без задержек начать собственные процедуры исправления.

Группы SOC и Threat Research Darktrace идентифицировали как минимум три дополнительных инцидента, вероятно, связанных с той же кампанией. Все целевые организации базировались в США, охватывали различные отрасли, и в каждом случае были признаки использования VPN SonicWall, указывающие на его вероятное нацеливание для первоначального доступа. В этих инцидентах наблюдались схожие модели: загрузка подозрительного исполняемого файла с именем «vmwaretools» с endpoint 85.239.52[.]96 с использованием пользовательского агента «Wget», а также эксфильтрация данных через SSH на endpoints 107.155.69[.]42 и 107.155.93[.]154, принадлежащих тому же ASN (AS29802 HVC-AS), что и в описанном инциденте. Примечательно, что 107.155.93[.]154 также сообщался в OSINT как индикатор, связанный с активностью вымогателей Akira. Эти перекрывающиеся и неперекрывающиеся TTP могут отражать размытие границ между различными аффилированными лицами, работающими под одной моделью RaaS.

Эта кампания акторов Akira подчеркивает критическую важность поддержания актуальной практики исправления. Злоумышленники продолжают использовать ранее раскрытые уязвимости, а не только уязвимости нулевого дня, что указывает на необходимость постоянной бдительности даже после выпуска исправлений. Это также демонстрирует, как неправильные конфигурации и упущенные слабости могут быть использованы для первоначального доступа или повышения привилегий даже в хорошо обслуживаемых средах. Наблюдения Darktrace дополнительно показывают, что авторы вымогателей все чаще полагаются на легитимные административные инструменты, такие как WinRM, чтобы сливаться с обычной сетевой активностью и уклоняться от обнаружения. Помимо ранее задокументированных методов доступа к учетным данным на основе Kerberos, таких как Kerberoasting и pass-the-hash, в этой кампании использовался UnPAC the hash для извлечения NTLM-хэшей через PKINIT и U2U аутентификацию для перемещения внутри сети или повышения привилегий.

IPv4

• 107.155.69.42
• 107.155.93.154
• 137.184.126.86
• 66.165.243.39
• 85.239.52.96

URLs

• http://137.184.126.86:8080/vmwaretools
• http://85.239.52.96:8000/vmwarecli

• BianLian Ransomware Gang IOCs
• Активизация кампании Akira ransomware через уязвимости SonicWall
• Группировка Akira атакует VPN-аппараты SonicWall: растущая угроза корпоративным сетям