Die Ransomware-Gruppe Akira intensiviert laut Arctic Wolf ihre Angriffe auf SonicWall SSL VPN und authentifiziert sich trotz aktivierter MFA mit Einmalpasswörtern (OTP). Auffällig sind mehrere hintereinander ausgeführte OTP-Prüfungen, die letztlich zum erfolgreichen Login führen – ein starkes Indiz für kompromittierte OTP-Seed-Schlüssel oder ein alternatives Verfahren zur Generierung gültiger Codes.
SonicWall-Angriffswelle: vom 0‑Day-Verdacht zu CVE‑2024‑40766
Arctic Wolf ordnet die jüngste Serie von Intrusionen dem Zeitraum ab dem 15. Juli 2025 zu. Zunächst stand ein mögliches 0‑Day in Firewalls der 7. Generation im Raum; Huntress bekräftigte die Warnungen mit IoCs und riet temporär zur Deaktivierung von SSL VPN.
SonicWall verknüpfte die Vorfälle später mit CVE‑2024‑40766 (Fehler in der Zugriffskontrolle, behoben im August 2024). Betroffen waren vor allem Installationen ohne zeitnahe Patches. Trotz Updates nutzten Täter weiter vorher entwendete Zugangsdaten, weshalb SonicWall zur Passwortrotation und zum Update auf aktuelle SonicOS-Releases aufrief.
Akiras TTPs: schneller Netzwerk-Footprint, Lateral Movement, Fokus auf Backups
Nach dem VPN-Login beginnen die Angreifer innerhalb von wichtigen Minuten mit der Netzwerkerkundung. Für die Seitwärtsbewegung kommen Impacket (SMB Session Setup) und RDP zum Einsatz, flankiert von Active-Directory-Reconnaissance über dsquery, SharpShares und BloodHound.
Besonderes Augenmerk gilt Veeam Backup & Replication. Dokumentiert ist ein maßgeschneiderter PowerShell-Loader, der gespeicherte Anmeldedaten für MSSQL und PostgreSQL extrahiert und via DPAPI entschlüsselt. Das zielt auf Backup-Umgebungen, erschwert die Wiederherstellung und erhöht den Erpressungsdruck – ein Muster, das in Ransomware-Fällen regelmäßig die Schadenshöhe bestimmt.
Verteidigungsumgehung: BYOVD und Missbrauch legitimer Komponenten
Zur Deaktivierung von Sicherheitskontrollen nutzt Akira Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD). Über das legitime Microsoft consent.exe wird DLL‑Sideloading betrieben, um u. a. die angreifbaren Treiber rwdrv.sys und churchill_driver.sys zu laden und anschließend Schutzprozesse abzuschalten. Einige kompromittierte Systeme liefen auf empfohlenen SonicOS‑Versionen (7.3.0) – ein weiterer Hinweis, dass Zugangsdaten und MFA‑Faktoren im Kern der Kompromittierung stehen.
MFA im Visier: kompromittierte OTP‑Seeds als Gamechanger
Die Kombination aus mehrfachen OTP‑Versuchen und erfolgreichem Login deutet auf die Kompromittierung von OTP‑Seed-Schlüsseln oder eine synchrone Code-Generierung hin. Ein vergleichbarer Ansatz wurde im Juli auch von Google Threat Intelligence beschrieben: Die Gruppe UNC6148 setzte den Rootkit‑Loader OVERSTEP gegen SMA‑100-Appliances ein; mutmaßlich mit gestohlenen Seeds, die auch nach Updates Zugang ermöglichten. Eine konkrete CVE wurde dort nicht genannt.
Wichtig: Passwortwechsel allein reicht nicht, wenn der OTP‑Seed offengelegt ist. Notwendig ist die vollständige Regeneration der OTP‑Secrets und das erneute MFA‑Enrollment betroffener Konten, sonst bleiben gültige Codes für den Angreifer berechenbar.
Konkrete Schutzmaßnahmen: Härtung, Erkennung, Wiederanlauf
Sofort: SonicOS auf den neuesten Stand bringen, Admin‑ und VPN‑Passwörter zwangsweise rotieren, OTP‑Secrets zurücksetzen und neu ausrollen. SSL VPN per Geofencing/Allowlists einschränken und externes Web‑Management deaktivieren.
Starke Authentifizierung: wo möglich auf FIDO2/WebAuthn oder Zertifikatsauthentifizierung für VPN wechseln; Geräte‑ und Kontextprüfungen (Conditional Access) aktivieren.
BYOVD stoppen: Microsoft Vulnerable Driver Blocklist und HVCI/KMCI aktivieren, anomalen Start von consent.exe überwachen und bekannte Treiber (rwdrv.sys, churchill_driver.sys) blockieren.
Backups absichern: Veeam segmentieren, dedizierte Konten mit Least Privilege nutzen, immutable/offline‑Repos einsetzen und Restore‑Prozesse regelmäßig testen.
Detektion & Response: nach Impacket-, BloodHound– und RDP‑Artefakten jagen, häufige OTP‑Fehlversuche mit späterem Erfolg korrelieren, AD‑Enumeration überwachen sowie EDR und Netzwerktelemetrie auf kritischen Knoten priorisieren. Relevante IoCs und Handlungsanweisungen von Arctic Wolf, Huntress und SonicWall berücksichtigen.
Organisationen, die SonicWall SSL VPN einsetzen, sollten ihre Vertrauensanker in der MFA kurzfristig überprüfen, OTP‑Seeds revoken und neu bereitstellen, Zugangsdaten bereinigen und Härtungsmaßnahmen zügig umsetzen. Wer Authentifizierung stärkt, BYOVD konsequent blockiert und Backups widerstandsfähig gestaltet, senkt das Risiko einer erfolgreichen Erpressung und verkürzt die Wiederanlaufzeit im Ernstfall.
