04/08/25
По данным компании Arctic Wolf, злоумышленники активно используют SSL VPN-подключения этих маршрутизаторов, при этом основной опаснонстью остаётся использование ранее неизвестной уязвимости нулевого дня.
Akira появилась в марте 2023 года и с тех пор атаковала более 300 организаций по всему миру. В числе жертв — Nissan (в Австралии и Океании), Hitachi и Стэнфордский университет. По данным ФБР, на апрель 2024 года группировка получила от жертв более 42 миллионов долларов, пишет Securitylab.
По наблюдениям Arctic Wolf Labs, атаки начались 15 июля. Во многих случаях был зафиксирован несанкционированный доступ через SSL VPN устройств SonicWall. Исследователи подчёркивают, что точный способ первоначального проникновения пока не установлен. Хотя версия с уязвимостью нулевого дня представляется наиболее вероятной, полностью исключить сценарии с компрометированными учётными данными — перебором паролей, словарными и массированными атаками — нельзя.
После получения доступа злоумышленники быстро переходили к шифрованию данных — эта схема соответствует шаблону атак, отслеживаемому с октября 2024 года. Всё указывает на длительную целенаправленную кампанию против SonicWall. Злоумышленники действуют по уже отработанной схеме: уничтожают резервные копии навсегда, оставляя жертв без возможности восстановления.
Отмечено также, что при этих атаках используется атипичный способ VPN-доступа: вместо обычных провайдеров связи злоумышленники подключаются через хостинг-платформы. Это позволяет отличить вредоносный трафик от легитимного.
Расследование продолжается, но уже сейчас администраторам SonicWall рекомендуется временно отключить SSL VPN, включить расширенное логирование, отслеживание активности конечных точек и заблокировать VPN-доступ с хостинговых IP-адресов до появления патчей.
Эта рекомендация была опубликована спустя неделю после предупреждения от самой SonicWall, призвавшей срочно обновить устройства серии SMA 100. Речь шла о критической уязвимости CVE-2025-40599, позволяющей выполнить произвольный код на незащищённых устройствах при наличии прав администратора. Хотя фактов активного использования этой бреши не выявлено, компания подчёркивает, что устройства уже задействованы в атаках с применением украденных логинов и паролей, в том числе для установки нового руткита OVERSTEP, обнаруженного исследователями Google Threat Intelligence Group. История атак на SonicWall насчитывает уже не один год системных проблем.
SonicWall также настоятельно рекомендовала администраторам виртуальных и физических версий SMA 100 проверить журналы активности, провести поиск индикаторов компрометации и немедленно обратиться в службу поддержки при выявлении признаков взлома.
