Akira ransomware SonicWall SSL VPN kihasználás
Az Arctic Wolf Labs elemzése szerint az Akira zsarolóvírus mögött álló csoport az elmúlt hetekben egy rendkívül agresszív, „smash-and-grab” jellegű kampányt indított, amelynek középpontjában a SonicWall SSL VPN-ek állnak. A támadók célzottan próbálnak bejutni a vállalati hálózatokba, és több esetben is sikeresen kihasználták az egyszer használatos jelszavakkal védett, többfaktoros hitelesítést, ami arra utal, hogy kifinomult technikákat alkalmaznak.
Miután hozzáférést szereznek, néhány percen belül portszkennelést és belső hálózati felderítést végeznek, Impacket-alapú eszközökkel terjeszkednek, majd rövid időn belül megkezdik az adatok titkosítását és kiszivárogtatását. A támadások különböző méretű és profilú szervezeteket érintenek, ami arra utal, hogy az Akira-csoport opportunista módon, tömegesen próbálja kiaknázni a sérülékeny rendszereket. Bár a SonicWall egyik korábbi, CVE-2024-40766 kód alatt nyilvántartott biztonsági hibája is felmerült lehetséges belépési pontként, közvetlen bizonyíték erre nem került elő.
A kutatók hangsúlyozzák, hogy a támadások gyorsasága és brutalitása miatt a szervezeteknek kiemelt figyelmet kell fordítaniuk a VPN-hozzáférések védelmére, a felhasználói hitelesítők mielőbbi cseréjére, valamint a hálózati forgalom és a gyanús mozgások folyamatos monitorozására.
