Группировка Akira атакует VPN-аппараты SonicWall: растущая угроза корпоративным сетям

Поводом для тревоги стал заметный всплеск атак, наблюдаемый с конца июля. Первый задокументированный Field Effect инцидент, связанный с этой кампанией, произошел 22 июля. В 14:15 UTC злоумышленник начал попытки аутентификации на множестве узлов внутренней сети клиента, используя IP-адрес, выделенный его VPN. Хотя большинство попыток завершились неудачей, атакующему удалось получить доступ к контроллеру домена, выполняющему также функции файлового сервера. Системы мониторинга Field Effect (MDR) автоматически зафиксировали аномальную активность, и к 14:36 UTC специалисты SOC компании уже взаимодействовали с партнером-поставщиком управляемых услуг (MSP) клиента для локализации угрозы. Последующий анализ однозначно указал на скомпрометированный VPN-аппарат как точку входа.

Этап массовых атак начался неделей позже. 29 июля Field Effect зафиксировала и локализовала два практически идентичных инцидента у клиентов разных MSP-партнеров, а 30 июля последовала еще одна атака. Во всех случаях злоумышленники получали первоначальный доступ в сеть через SSL VPN SonicWall. В последующие дни специалисты Field Effect MDR отреагировали на ряд дополнительных атак, следовавших той же схеме. Общим знаменателем для подавляющего большинства пострадавших клиентов стало использование версии SonicOS 7.2.0-7015 - самой актуальной на момент начала кампании, но предшествующей версии 7.3.0-7012, выпущенной SonicWall 29 июля.

VPN как слабое звено безопасности

Эксперты Field Effect отмечают тревожную тенденцию: VPN-решения, призванные обеспечивать безопасный удаленный доступ, сами становятся излюбленной мишенью для киберпреступников, повторяя путь ранее уязвимых сервисов удаленного рабочего стола (RDP). Группировка Akira демонстрирует растущее мастерство в эксплуатации небезопасных IoT-устройств и легитимных инструментов удаленного доступа, включая VPN, которые традиционно воспринимались как надежный барьер. Этот тренд подчеркивает, что VPN не являются "серебряной пулей" в вопросах безопасности. Организациям необходимо рассматривать их лишь как один компонент многоуровневой стратегии защиты, включающей регулярное обновление ПО, комплексный мониторинг безопасности и строгий контроль идентификационных данных.

Расследование причин и противоречия в оценке угрозы

Значительный рост инцидентов у клиентов различных MSP-партнеров Field Effect заставил специалистов задуматься о возможности широкомасштабной эксплуатации уязвимости как основной причины. Были рассмотрены три ключевых сценария:

• Первый сценарий предполагал, что ранее исправленная уязвимость может быть серьезнее, чем изначально оценено, и активно эксплуатируется удаленно для кража учетных данных. Единственная уязвимость, исправленная в версии SonicOS 7.3.0-7012, связана с CVE-2025-40600. SonicWall охарактеризовал ее как приводящую к отказу в обслуживании (DoS) с оценкой CVSS v3 в 5.9 баллов (средняя степень опасности). Однако Национальная база данных уязвимостей (NVD) США присвоила этому же CVE критический статус с максимальной оценкой CVSS v3 в 9.8 баллов, что указывает на возможность удаленного выполнения кода или полного компрометирования системы. Это расхождение в оценках вызывает серьезные вопросы.
• Второй возможный сценарий - злоумышленники ранее скомпрометировали необновленные устройства для кражи учетных данных и только сейчас начали их использовать.
• Третий вариант - существование пока не выявленной уязвимости в SSL VPN SonicWall, активно эксплуатируемой для кражи учетных данных.

Для прояснения ситуации Field Effect 30 июля начала активно взаимодействовать с участниками частных исследовательских групп и форумов по безопасности, делясь своими наблюдениями и запрашивая информацию у коллег. 1 августа к ним обратились несколько партнеров за поддержкой при реагировании на инциденты с вымогателями у их клиентов. Предварительный анализ показал, что эти атаки также связаны с кампанией Akira против SonicWall VPN.

Ответные меры и рекомендации

2 августа 2025 года Field Effect опубликовала пост с изложением своих наблюдений. Одновременно компания задействовала систему внешнего сканирования угроз, интегрированную в ее платформу MDR, для генерации автоматизированных рекомендаций по действиям (ARO). Сотням клиентов, использующих VPN SonicWall с выходом в интернет, было настоятельно рекомендовано немедленно принять меры безопасности. Ключевые рекомендации включают незамедлительное обновление всех VPN-аппаратов SonicWall до последней доступной версии прошивки (SonicOS), особенно с учетом расхождений в оценке критичности CVE-2025-40600. Также настоятельно рекомендуется провести аудит всех учетных записей VPN, обеспечив использование сложных уникальных паролей и многофакторной аутентификации (MFA) везде, где это возможно. Необходимо тщательно контролировать журналы аутентификации VPN на предмет подозрительных попыток входа, особенно неудачных множественных попыток или успешных входов с необычных IP или в нерабочее время.

Организациям следует пересмотреть свою стратегию безопасности, признав, что VPN - это потенциальный вектор атаки, и обеспечить наличие эффективных систем обнаружения и реагирования на угрозы (XDR/MDR), способных выявлять аномальную активность внутри сети, даже исходящую с доверенных устройств, таких как VPN. Хотя основное внимание уделяется SonicWall Gen 7, наличие подтвержденного случая на Gen 8 указывает на необходимость бдительности для всех пользователей продукции SonicWall.

На данный момент SonicWall официально подтвердила рост инцидентов, но точная техническая причина массовых компрометаций VPN-аппаратов, используемых группировкой Akira, остается предметом активного расследования. Противоречивая оценка тяжести CVE-2025-40600 подчеркивает важность оперативного применения патчей, независимо от первоначальной оценки поставщика. Ситуация служит суровым напоминанием о том, что ни одно сетевое устройство не является неуязвимым, и безопасность требует постоянной бдительности, многослойной защиты и быстрого реагирования на новые угрозы.

IPv4

• 104.238.220.216
• 107.158.128.106
• 162.213.194.186
• 193.163.194.7
• 66.165.243.39

Domains

• limewire-filesharing-production.b61cdfd8cf17f52ddc020162e738eb5d.r2.cloudflarestorage.com

SHA1

• 095036f9669230cb69b42eb5e6d91fdbe46ab61e
• 18300f03e2bf6d7a9f1e393316f71b6c2846e910
• 2435920542516c0969c32b6792ca1455a602dcc4
• 3477a173e2c1005a81d042802ab0f22cc12a4d55
• 86233a285363c2a6863bf642deab7e20f062b8eb
• b5c8db9a6c645469bcf4582dfd7f66050206579f
• d26aabe9d0c17d8db032124b221f48c15e85ee23
• f73607b630548d2bbf23c02a43dd9e2117719caa
• f8433741133d8fa340051dfded806eb049584c0d
• fe6362cbacd2ec186d24b3523718baf56667d7ce