Dreigingsactoren die zijn aangesloten bij de Akira Ransomware Group, zijn zich blijven richten op Sonicwall -apparaten voor initiële toegang.
Cybersecurity Firm Rapid7 zei dat het een piek waargenomen in intrusies met Sonicwall -apparaten in de afgelopen maand, met name na rapporten over hernieuwde Akira -ransomware -activiteit sinds eind juli 2025.
Sonicwall onthulde vervolgens de SSL VPN-activiteit gericht op zijn firewalls betrokken bij een jaar oude beveiligingsfout (CVE-2024-40766, CVSS-score: 9.3) waar lokale gebruikerswachtwoorden werden overgedragen tijdens de migratie en niet reset.
“We observeren verhoogde dreigingsactiviteiten van actoren die proberen gebruikersreferenties met brute force te proberen,” merkte het bedrijf op. “Om het risico te verminderen, moeten klanten BotNet -filtering in staat stellen om bekende dreigingsactoren te blokkeren en ervoor te zorgen dat het beleid voor accountvergrendeling is ingeschakeld.”
SonicWall heeft ook gebruikers aangedrongen om LDAP SSL VPN -standaardgebruikersgroepen te beoordelen en beschrijft het als een “kritisch zwak punt” als het verkeerd is geconfigureerd in de context van een Akira -ransomware -aanval –
Deze instelling voegt automatisch elke succesvol geverifieerde LDAP -gebruiker toe aan een vooraf gedefinieerde lokale groep, ongeacht hun werkelijke lidmaatschap in Active Directory. Als die standaardgroep toegang heeft tot gevoelige services – zoals SSL VPN, administratieve interfaces of onbeperkte netwerkzones – dan zal een gecompromitteerde AD -account, zelfs een zonder legitieme behoefte aan die diensten, die machtigingen onmiddellijk erven.
Dit omzeilt effectief de beoogde advertentiegebaseerde toegangscontroles, waardoor aanvallers een direct pad naar de netwerkperimeter krijgen zodra ze geldige referenties verkrijgen.
Rapid7 zei in zijn waarschuwing dat het ook heeft opgemerkt dat bedreigingsactoren toegang hebben tot het virtuele kantoorportaal gehost door Sonicwall -apparaten, die in bepaalde standaardconfiguraties de openbare toegang kunnen vergemakkelijken en aanvallers kunnen vergemakkelijken om MMFA/TOTP te configureren met geldige accounts, ervan uitgaande dat er een eerdere aanwijzingen is.
“De Akira -groep maakt mogelijk gebruik van een combinatie van alle drie deze beveiligingsrisico’s om ongeautoriseerde toegang te krijgen en ransomware -bewerkingen uit te voeren,” zei het.
Om het risico te verminderen, wordt geadviseerd dat organisaties worden geadviseerd om wachtwoorden op alle lokale accounts van Sonicwall te roteren, eventuele ongebruikte of inactieve Sonicwall lokale accounts te verwijderen, ervoor te zorgen dat MFA/TOTP -beleid wordt geconfigureerd en de toegang tot het virtuele kantoorportaal toegang tot het interne netwerk te beperken.
Akira’s targeting van Sonicwall SSL VPNS is ook weerspiegeld door het Australian Cyber Security Center (ACSC), dat erkende dat het zich bewust is van de ransomware -bende die kwetsbare Australische organisaties via de apparaten opvalt.
Sinds het debuut in maart 2023 is Akira een aanhoudende bedreiging geweest in het landschap van de ransomware -dreiging, die tot nu toe 967 slachtoffers claimt, volgens informatie van ransomware.live. Volgens de statistieken gedeeld door Cyfirma was Akira goed voor 40 aanvallen in de maand juli 2025, waardoor het de derde meest actieve groep is na Qilin en Inc Ransom.
Van de 657 ransomware -aanvallen die van invloed zijn op industriële entiteiten wereldwijd gemarkeerd in Q2 2025, namen Qilin, Akira en Play Ransomware -families de top drie slots, die elk respectievelijk 101, 79 en 75 incidenten rapporteerden.
Akira handhaafde “substantiële activiteit met consistente targeting van productie- en transportsectoren door geavanceerde phishing en multi-platform ransomware-implementaties”, zei industriële cybersecuritybedrijf Dragos in een rapport dat vorige maand werd gepubliceerd.
Recente AKIRA -ransomware -infecties hebben ook gebruik gemaakt van zoekmotor -vergiftigingstechnieken voor zoekmachineoptimalisatie (SEO) om Trojanized -installateurs te leveren voor populaire IT -managementhulpmiddelen, die vervolgens worden gebruikt om de hommelmalware -lader te laten vallen.
De aanvallen gebruiken vervolgens Bumblebee als een leiding om het adaptixc2 na exploitatie- en tegenstander-emulatiekader te distribueren, installeer Rustdesk voor persistente externe toegang, exfiltregegevens en de ransomware te implementeren.
Volgens Palo Alto Networks Unit 42 kan het veelzijdige en modulaire karakter van AdaptixC2 bedreigingsactoren in staat stellen commando’s uit te voeren, bestanden over te dragen en gegevensuitvoeringen op geïnfecteerde systemen uit te voeren. Het feit dat het ook open-source is, betekent dat het door tegenstanders kan worden aangepast om aan hun behoeften te voldoen.
Andere campagnes die AdaptixC2 propageren, zei het Cybersecurity Company, hebben Microsoft Teams -oproepen gebruikt om IT -helpdesk na te bootsen om niet -verwerkende gebruikers te misleiden om ze externe toegang te verlenen via snelle assistent en een PowerShell -script te laten vallen dat de shellcode -payload in het geheugen in de hoogte brengt en in het geheugen wordt geladen.
“De AKIRA -ransomware -groep volgt een standaardaanvalstroom: het verkrijgen van initiële toegang via de SSLVPN -component, escalerende privileges naar een verhoogd account of serviceaccount, het lokaliseren en stelen van gevoelige bestanden van netwerkaandelen of bestandsservers, het verwijderen of stoppen van back -ups en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen en back -ups verwijderen of stopt.
