Киберпреступники атакуют корпоративные сети через уязвимости в VPN за считанные минуты

По данным аналитиков Arctic Wolf, киберпреступники используют недостаток контроля доступа в устройствах SonicWall для получения учетных данных и последующего несанкционированного доступа через SSL VPN. Наибольшую тревогу вызывает способность злоумышленников обходить многофакторную аутентификацию (MFA) при помощи скомпрометированных учетных данных, хотя точный механизм этого обхода пока остается невыясненным.

Атака развивается стремительно: первые признаки компрометации появляются в течение 5 минут после получения доступа. Злоумышленники Immediately приступают к сканированию внутренней сети используя инструменты SoftPerfect Network Scanner и Advanced IP Scanner, фокусируясь на ключевых портах, включая 135 (RPC), 445 (SMB) и 1433 (SQL). Для перемещения по сети активно применяется Python-библиотека Impacket, а сессии SMBv2 часто инициируются с хостов под именами "kali" или "WIN".

Особую изощренность демонстрирует подход к извлечению данных. Злоумышленники используют WinRAR для архивирования конфиденциальных файлов - текстовых документов, PDF и файлов Office - с последующей разбивкой на части по 3 ГБ для передачи через инструменты Rclone или FileZilla на инфраструктуру VPS-хостингов.

Обнаружен уникальный PowerShell-скрипт, извлекающий учетные данные из баз данных Veeam Backup & Replication. Скрипт дешифрует данные с использованием DPAPI и форматов Base64, получая доступ к резервным копиям виртуальных машин. Для сохранения контроля создаются локальные и доменные учетные записи, маскирующиеся под легитимные службы, а также используются инструменты удаленного управления AnyDesk, RustDesk и Cloudflared.

Тактика уклонения от защиты включает отключение систем обнаружения и реагирования на конечных точках (EDR) и Windows Defender через технику BYOVD (bring-your-own-vulnerable-driver) с использованием переупакованных бинарных файлов Microsoft. Геоограничение предотвращает запуск вредоносного ПО в странах Восточной Европы и Центральной Азии - распространенная тактика для избежания внимания правоохранительных органов этих регионов.

Вымогатель, распространяемый как akira.exe или locker.exe, начинает шифрование дисков и сетевых ресурсов в течение нескольких часов после проникновения, добавляя расширение .akira к файлам. Группа использует модель двойного вымогательства, угрожая публикацией украденных данных в случае отказа от выплаты выкупа.

География атак охватывает США, Европу, Южную Америку, Австралию, Канаду, Индию и Африку. Среди наиболее пострадавших секторов - недвижимость, страхование, энергетика, производство, юридические услуги, здравоохранение, строительство, розничная торговля, сельское хозяйство, финансы и государственные учреждения.

Рост активности Akira связан с развитием ее модели Ransomware-as-a-Service (RaaS). Аффилированные лица получают 70-80% от суммы выкупа, что является одним из самых высоких показателей в индустрии кибервымогательства. Типичные требования варьируются от 500 тысяч до 2 миллионов долларов за организацию.

Низкий порог входа для аффилированных лиц, универсальность инструментов для Windows, Linux и VMware ESXi, а также фрагментация рынка из-за действий правоохранительных органов способствуют быстрому расширению операций Akira. Активность на сайте публикации украденных данных выросла примерно на 30% с первого квартала 2025 года.

Эксперты подчеркивают, что даже установка последних обновлений прошивки не обеспечивает полную защиту без обязательного сброса учетных данных. Критически важными мерами остаются мониторинг аномальной активности VPN-подключений, строгий контроль удаленного доступа и оперативное обнаружение признаков компрометации.

SHA256

• 0195f7d41644e87291092aff91770f0eca1ab775562b56791a31f409793499e4
• 0942a5df0ab3f0278cdc5b3eb11c899dcaf0dda34238de71000626e220c92e07
• 096281571085fe6bc80d50e8d8510379ac8481c56f9bc53a001c8156e7e764d3
• 1db5fba5f0310225d842c9bdc05c027143335fa397b109232711510f64960968
• 26841db9c5f0aa186c07462709984a15ff7d867e7cb635d270442cfef3868354
• 392bbfa9a1526428e2db1c5bd6fda098ee0303a8ebf2831e66fd68d54f5977ed
• 401f99900f2a95a9841678308609b7b2dba88fd7248645f81ec2d9308463025a
• 8cc602098466734f49a2207af9cff47a9999756de600c703fb2405bf067d268f
• 9e56d7b5621fc6fd6b966923447988d06e48f6211461de532b71023588e0c95b
• a5a4ee68bfdd7449b11289b8af200ff1d146deda40d23913059ed2a941cf7a5b
• a610ef0e37af408aa49c7296d238796c57ac45aa8b0809ce72bc4d75b23fdf4f
• aac26c298a11e3d5b5ce409f7290ab108d9f98e1f819291e143fe12fb8537466
• b5dfd4fb5e17d304c15d42a1d2404ff7a578b618f996f5cb6b2762cd9a6d0c53
• ba6c0aa1b0ff6651b843de22cc83010addbb27f7c2d53db81a87d52b2fc32999
• bca1fa9761692b63182acb87c43aa5f4297b237396cd95444b7bc398f1ae338b
• d5d55ab3e29faa76ec513f9b32112cf4dff67f8911786a2916d6b951150cd722
• dd0f8a5d991b5ceda51e74ea52604d6f601eb59053a9c5a01974f011a34572ca
• e8c7ceb1a023c5f69b3ad9146c1a674088b7471cdcfb936fd5afba4f45aabac1
• e9e0c53a59e00827c6e904d8d32ffc23bb9e2f45fa41d6acdc00533bfe151c62
• fa57f2c1c3b2a8a75bbce65bc59b81c0b39c75ba9857bbfe32d60862a1847978