Akira ransomware заобикаля MFA в атаки срещу SonicWall SSL VPN

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Атаките на групировката зад Akira ransomware срещу SonicWall SSL VPN устройства продължават да ескалират. Нови изследвания показват, че хакерите успяват да се автентикират дори когато е активирана защита с еднократни кодове (OTP) чрез многофакторна автентикация (MFA). Специалисти подозират, че престъпниците използват предварително откраднати OTP „seed“ стойности, но точният метод все още не е потвърден.

Уязвимост и последваща злоупотреба

Първоначално се смяташе, че атаките използват непознат „zero-day“, но SonicWall ги свърза с вече коригирана уязвимост – CVE-2024-40766, открита през септември 2024 г. Въпреки пуснатия пач, киберпрестъпниците продължават да експлоатират компрометирани идентификационни данни, добити преди инсталирането на актуализациите. SonicWall призова администраторите да нулират всички SSL VPN пароли и да преминат към последна версия на SonicOS.

MFA не е достатъчна защита

Arctic Wolf съобщава, че нападателите успяват да преминават OTP предизвикателства и да влизат в акаунти, защитени с MFA. Това предполага или компрометиране на OTP seed ключове, или друг метод за генериране на валидни токени. Подобна техника бе описана от Google Threat Intelligence Group при атаки срещу устройства SonicWall SMA 100, където се използват вече откраднати OTP данни.

Пост-експлоатационни действия

След успешен достъп, групата Akira действа бързо – често сканирайки вътрешната мрежа в рамките на 5 минути. Използват се Impacket, RDP логини и инструменти като dsquery, SharpShares и BloodHound за картографиране на Active Directory. Особен интерес представляват сървърите за резервни копия Veeam, откъдето се извличат криптирани идентификационни данни чрез PowerShell скриптове.

За да избегнат засичане, атакуващите прилагат техника Bring-Your-Own-Vulnerable-Driver (BYOVD), използвайки легитимния Microsoft consent.exe за sideload на злонамерени DLL файлове. Това им позволява да заредят уязвими драйвери (напр. rwdrv.sys, churchill_driver.sys) и да изключат защитни решения, осигурявайки свободно стартиране на рансъмуера.

Препоръки за защита

Дори устройства с актуализиран SonicOS 7.3.0 – препоръчваната версия за сигурност – са засегнати, ако преди това са били експлоатирани. Затова експертите настояват администраторите незабавно да сменят всички VPN идентификационни данни на системи, които някога са работили с уязвим фърмуер.

#Akira ransomware, # MFA заобикаляне, # SonicWall, # VPN атаки, # киберсигурност
e-security.bg

Подобни

Държавни хакери използват Gemini на Google
12.02.2026
google-gemini
SSHStalker - нов Linux ботнет възражда IRC като C2 механизъм
12.02.2026
u_z3u7n7e7-penguins-5414467_640
LummaStealer се завръща с нова сила чрез CastleLoader
12.02.2026
stealer
Атаката DeadVax: изключително сложна фишинг кампания
9.02.2026
malware-phishing-header
APT28 използва нова уязвимост в Microsoft Office за кампания срещу Европа
9.02.2026
spying-4270361_640
Shadow Campaigns: Глобална операция с ясен геополитически фокус
9.02.2026
Cyberattack_b

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.