Arctic Wolf повідомляє про еволюцію кампанії викупника Akira, націленої на SonicWall SSL VPN: атакувальники фіксують успішні входи навіть за ввімкненої багатофакторної автентифікації з одноразовими паролями (OTP). Кілька невдалих перевірок OTP, що завершуються успішною сесією, указують на ймовірну компрометацію seed‑ключів або інший спосіб генерації валідних кодів.
Контекст інцидентів: від підозри на 0‑day до відомих вразливостей
Улітку Arctic Wolf зафіксувала серію вторгнень, що стартували 15 липня 2025 року, спершу з підозрою на 0‑day у міжмережевих екранах SonicWall сьомого покоління. Команда Huntress підтвердила активність, оприлюднила індикатори компрометації та рекомендувала тимчасово вимикати служби SonicWall SSL VPN.
Згодом виробник пов’язав інциденти з CVE‑2024‑40766 (помилка керування доступом, виправлена у серпні 2024-го). Під удар потрапили насамперед організації без своєчасних оновлень. Навіть після патчів зловмисники продовжили використовувати раніше викрадені облікові дані, тому SonicWall закликав до негайної зміни паролів і переходу на актуальний SonicOS.
Ланцюжок атаки: швидке закріплення, AD‑розвідка та тиск на Veeam
У поточній хвилі зловмисники діють агресивно: вже за п’ять хвилин після входу починається сканування мережі. Для бокового переміщення застосовуються Impacket (SMB Session Setup) і RDP, а для збору відомостей про домен — dsquery, SharpShares та BloodHound.
Окрема увага приділяється Veeam Backup & Replication. Дослідники описують кастомний PowerShell‑скрипт, що витягує та розшифровує збережені креденшіали для MSSQL і PostgreSQL, включно з секретами DPAPI. Прицільна деактивація або викрадення беккапів підвищує шанси на успішний шантаж і ускладнює відновлення.
Обхід захистів: BYOVD і зловживання легітимними компонентами
Для вимикання безпекових засобів використовується тактика Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD). Атакувальники зловживають Microsoft consent.exe для завантаження шкідливих DLL і вразливих драйверів (rwdrv.sys, churchill_driver.sys), після чого відключають захисні процеси. Частина атак відзначена на пристроях із рекомендованою версією SonicOS 7.3.0, що підкреслює обліково‑даний характер компрометації та ризики при зламі факторів MFA.
MFA під загрозою: роль seed‑ключів OTP і паралельні кейси
Хоча точний механізм обходу не розкрито, Arctic Wolf вважає імовірною утрату seed‑ключів OTP або альтернативну генерацію валідних токенів. Подібний підхід описувала і Google Threat Intelligence Group у липні: група UNC6148 розгортала руткіт OVERSTEP на пристроях серії SMA 100, імовірно користуючись раніше викраденими seed‑ключами для збереження доступу навіть після оновлень.
Критична примітка для оборони
Якщо OTP базується на скомпрометованому seed‑ключі, звичайна зміна пароля не допоможе. Потрібна повна регенерація секретів і повторна прив’язка MFA для всіх уражених облікових записів — інакше атакувальник продовжить синхронно отримувати валідні коди.
Практичні заходи зниження ризику
Негайно: оновити SonicOS до останньої підтримуваної версії; примусово змінити паролі адміністраторів і VPN‑користувачів; перевипустити OTP‑секрети і провести повторну реєстрацію MFA. Обмежити доступ до SSL VPN за географією та списками довірених адрес, відключити веб‑адміністрування ззовні.
Посилення автентифікації: за можливості переходити на FIDO2/WebAuthn або сертифікатну автентифікацію для VPN; увімкнути політики умовного доступу та перевірки пристроїв.
Проти BYOVD: активувати Microsoft Vulnerable Driver Blocklist і HVCI/Kernel‑mode Code Integrity, моніторити аномальні запуски consent.exe, блокувати відомі небезпечні драйвери.
Мережа й резервні копії: сегментувати Veeam, застосовувати виділені облікові записи та принцип найменших привілеїв, зберігати бекапи в незмінюваних або офлайн‑сховищах, регулярно тестувати відновлення.
Детектування та реагування: проводити полювання на артефакти Impacket, BloodHound і RDP‑брутфорсу; корелювати множинні спроби OTP; контролювати AD‑енумерацію; увімкнути сіткову телеметрію та EDR на ключових вузлах.
З огляду на активність Akira проти SonicWall SSL VPN, варто терміново переглянути довіру до чинних факторів MFA, провести ревокацію та перевипуск OTP‑секретів, зіставити інфраструктуру з індикаторами Arctic Wolf і Huntress і закрити прогалини в резервуванні. Поєднання сучасної автентифікації (FIDO2), блокування вразливих драйверів і стійких практик резервного копіювання значно знижує ймовірність успішного вимагання та прискорює відновлення у разі інциденту.
