افزایش حملات باج‌افزار Akira علیه دستگاه‌های فایروال SonicWall

افزایش حملات باج‌افزار Akira به فایروال‌های SonicWall؛ احتمال بهره‌برداری از آسیب‌پذیری صفر روز

به گزارش شرکت امنیتی Arctic Wolf، از اواخر جولای، دستگاه‌های فایروال SonicWall هدف موجی از حملات باج‌افزار Akira قرار گرفته‌اند. این حملات ممکن است از یک آسیب‌پذیری صفر روز (zero-day) ناشناخته بهره‌برداری کرده باشند.

باج‌افزار Akira برای نخستین بار در مارس ۲۰۲۳ ظهور کرد و در مدت کوتاهی قربانیان متعددی در صنایع گوناگون در سراسر جهان داشته است. طی دو سال گذشته، Akira اطلاعات بیش از ۳۰۰ سازمان را در پورتال نشت در دارک‌وب خود منتشر کرده و مسئولیت چندین حمله‌ی پرمخاطب را پذیرفته، از جمله به Nissan (در اقیانوسیه و استرالیا)، Hitachi و دانشگاه استنفورد.

طبق اعلام FBI، تا آوریل ۲۰۲۴، این گروه باج‌افزاری بیش از ۴۲ میلیون دلار از طریق اخاذی از بیش از ۲۵۰ قربانی دریافت کرده است.

به گفته‌ی Arctic Wolf Labs، چندین نفوذ باج‌افزاری اخیر از طریق دسترسی غیرمجاز به اتصال VPN مبتنی بر SSL در SonicWall آغاز شده‌اند؛ این حملات از ۱۵ جولای شروع شده‌اند. هرچند بهره‌برداری از یک آسیب‌پذیری صفر روز در این حملات بسیار محتمل است، ولی احتمال حملات مبتنی بر دسترسی با اعتبارنامه (credential-based attacks) نیز به‌طور کامل منتفی نیست.

«روش‌های اولیه دسترسی در این کمپین هنوز به‌طور قطعی تأیید نشده‌اند. هرچند وجود یک آسیب‌پذیری صفر روز به‌شدت محتمل است، ولی دسترسی با اعتبارنامه از طریق حملات brute-force، dictionary و credential stuffing نیز هنوز در برخی موارد قابل رد نیست.» — محققان Arctic Wolf Labs

در جریان این موج حملات، مهاجمان پس از دسترسی اولیه از طریق SSL VPN به‌سرعت به مرحله رمزنگاری داده‌ها منتقل می‌شوند—الگویی که از اکتبر ۲۰۲۴ تاکنون در حملات مشابه به تجهیزات SonicWall مشاهده شده و نشان‌دهنده‌ی یک کمپین مستمر و هدفمند است.

همچنین، Arctic Wolf اشاره کرده که مهاجمان از سرورهای خصوصی مجازی (VPS) برای احراز هویت VPN استفاده کرده‌اند، در حالی که اتصالات معتبر معمولاً از شبکه‌های ISPهای خانگی منشأ می‌گیرند.

محققان امنیتی همچنان در حال بررسی فنی این حملات هستند و وعده داده‌اند که اطلاعات تکمیلی را به‌محض آماده شدن، در اختیار مدافعان سایبری قرار دهند.

در پی احتمال بالا برای بهره‌برداری از یک آسیب‌پذیری zero-day در SonicWall، Arctic Wolf توصیه کرده است که مدیران شبکه به‌صورت موقت سرویس SSL VPN روی دستگاه‌های SonicWall را غیرفعال کنند. همچنین، اقدامات امنیتی مکمل مانند افزایش لاگ‌برداری، پایش نقاط پایانی، و مسدودسازی تلاش‌های احراز هویت VPN از طریق شبکه‌های مرتبط با hosting تا زمان انتشار وصله‌ها، پیشنهاد شده است.

توصیه امنیتی برای مدیران SMA 100

گزارش Arctic Wolf تنها یک هفته پس از آن منتشر شد که SonicWall هشدار داد مشتریان باید دستگاه‌های SMA 100 را در برابر آسیب‌پذیری بحرانی CVE-2025-40599 به‌روزرسانی کنند. این نقص امنیتی می‌تواند در صورت وجود دسترسی مدیر سیستم، برای اجرای کد از راه دور (RCE) مورد سوءاستفاده قرار گیرد.

با اینکه تاکنون شواهدی از سوءاستفاده فعال از این آسیب‌پذیری منتشر نشده، SonicWall به‌شدت توصیه کرده که تمام مشتریان دارای نسخه‌های فیزیکی یا مجازی SMA 100، وضعیت سیستم‌های خود را بررسی کرده و به جستجوی شاخص‌های نفوذ (IoCs) طبق گزارش Google Threat Intelligence Group (GTIG) بپردازند.

محققان GTIG هشدار داده‌اند که مهاجمان در حال حاضر با استفاده از اعتبارنامه‌های به‌سرقت‌رفته، در حال هدف قرار دادن این دستگاه‌ها برای استقرار بدافزار ریشه‌کیت OVERSTEP هستند.

SonicWall از مدیران شبکه خواسته است که لاگ‌های دستگاه را بررسی کرده، هرگونه دسترسی مشکوک یا فعالیت غیرعادی را رصد کنند و در صورت مشاهده‌ی هرگونه نشانه‌ی نفوذ، با پشتیبانی SonicWall فوراً تماس بگیرند.