Akira: стремительный рост атак на SonicWall, CVE-2024-40766

С июля 2025 года специалисты фиксируют резкий рост активности группировки, распространяющей Akira ransomware. Основной вектор — эксплуатация уязвимости CVE-2024-40766 в SSL‑VPN устройствах SonicWall, что позволяет злоумышленникам получать доступ к сетям на основе украденных учетных данных и при этом обходить механизмы защиты с беспрецедентной скоростью.

Ключевые факты

• Уязвимость: CVE-2024-40766 в SSL‑VPN SonicWall.
• Целевые устройства: SonicWall серии NSA и TZ под управлением SonicOS версий 6 и 7.
• Скорость компрометации: успешные взломы нередко завершаются менее чем за 55 минут с момента первоначального доступа.
• Инструменты и методы: Impacket, WinRAR, AnyDesk, RustDesk; злоумышленники часто используют VPS для начального входа.
• Статистика: за июль‑август 2025 зарегистрировано более 40 подтверждённых инцидентов.
• Затронутые отрасли: строительство, производство, юридические фирмы и другие секторы с высоким вознаграждением для атакующих.

Как выполняется атака

Атакующие эксплуатируют некорректную реализацию контроля доступа в SonicWall SSL‑VPN, используя ранее украденные учетные данные. Типичная последовательность действий включает:

• Первичный доступ через VPS к уязвимому устройству SonicWall;
• Аутентификация по скомпрометированным учетным данным, с последующим обходом MFA (точные техники обхода остаются неясными);
• Быстрая горизонтальная и вертикальная переборка сетей — утилиты Impacket используются для перемещения и сбора учетных данных;
• Использование WinRAR для упаковки и передачи данных, AnyDesk и RustDesk — для закрепления удалённого доступа;
• Финальная фаза — развёртывание Akira ransomware и шифрование критичных ресурсов.

Особенности кампании и факторы риска

Аналитики отмечают, что кампания демонстрирует признаки хорошо организованной операции:

• Широкое использование партнерской/affiliate‑сети, что снижает барьер входа и увеличивает количество исполнителей;
• Фокус на учетных записях Active Directory и синхронизации через LDAP, включая учетные записи с MFA на основе OTP;
• Повторное использование ранее скомпрометированных учетных данных, предположительно полученных в результате ранних эксплуатаций CVE-2024-40766.

«Простое применение патча без принудительной смены учетных данных не устраняет угрозу», — отмечают специалисты. Оставшиеся старые пароли позволяют злоумышленникам возвращаться в сеть даже после исправления уязвимости.

Практические рекомендации для организаций

С учётом характеристик атак эксперты рекомендуют оперативные и стратегические меры защиты:

• Немедленно проверить и патчить все SonicWall‑устройства, но помнить — патч без смены учетных данных недостаточен;
• Принудительно сбросить пароли и ключи доступа для всех учетных записей, имеющих доступ через VPN/SSL‑терминалы;
• Внедрить и контролировать многоуровневую сегментацию сети и принцип наименьших привилегий;
• Пересмотреть механизмы MFA: где возможно — использовать phishing‑resistant методы (например, FIDO/WebAuthn), а не только OTP;
• Отслеживать и блокировать необычные подключения AnyDesk/RustDesk, а также активность от неизвестных VPS‑источников;
• Развернуть EDR/NGAV, настроить мониторинг и корреляцию логов (особенно авторизаций, LDAP‑запросов, перемещений по сети);
• Готовность к инцидентам: обновлённый IR‑план, регулярные бэкапы и проверяемые процедуры восстановления.

Вывод

Кампания Akira ярко демонстрирует, что современные группы вымогателей оперируют быстро, инструментализированно и с низким барьером входа благодаря partner‑моделям. Главная уязвимость здесь — не только программная дыра в SonicWall, но и недостаточная операционная дисциплина: отсутствие принудительной ротации учетных данных, слабая сегментация и ограниченные возможности обнаружения. Организациям требуется срочно пересмотреть набор мер защиты, чтобы снизить риск поражения такими быстрыми и целенаправленными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.