Az Akira zsarolóvírus-csoport új módszerekkel támadja a SonicWall SSL VPN-eszközöket, és még akkor is képes bejutni, ha az OTP-alapú többfaktoros hitelesítés engedélyezve van. A kutatók szerint ennek oka az lehet, hogy a támadók korábban ellopott OTP-seedek segítségével érvényes tokeneket tudnak generálni, így megkerülhetik a kétfaktoros védelmet. Több egymást követő egyszer használatos jelszó is validálható volt, ami alátámasztja a seed-kompromittálás lehetőségét.
Korábban kiderült, hogy az Akira kihasználta a SonicWall VPN-ek CVE-2024-40766 azonosítójú sebezhetőséget, amely hibás hozzáférés-vezérlést tett lehetővé. Bár a hibát 2024 augusztusában javították, a támadók továbbra is felhasználták a korábban ellopott hitelesítő adatokat. A SonicWall ezért minden érintett eszköznél az összes VPN-jelszó és OTP-seed teljes újragenerálását javasolja, mivel a kompromittált firmware mellett az ellopott adatok a frissítést követően is felhasználhatók.
A bejutás után perceken belül megindult a belső aktivitás: a kutatók szerint öt percen belül hálózati szkennelést hajtottak végre, Impacket-alapú SMB kéréseket, RDP bejelentkezéseket és BloodHound elemzést használva a jogosultságok feltérképezésére. Emellett Active Directory objektumokat is lekérdeztek különböző eszközükkel.
Kiemelt célpontjuk a backup- és adatbázis-szerverek, például Veeam, valamint az MSSQL- és PostgreSQL-rendszerek voltak, ahol egyedi PowerShell-szkriptekkel adatokat, titkosítási kulcsokat és DPAPI-kulcsokat gyűjtöttek. Ehhez testreszabott PowerShell-szkripteket is bevetettek.
A védelem kiiktatására Bring Your Own Vulnerable Driver (BYOVD) támadást hajtottak végre, amely során sebezhető drivereket töltöttek be, és ezek segítségével biztonsági szoftvereket kapcsoltak ki. A kutatók konkrétan két kihasznált drivert is azonosítottak: rwdrv.sys és churchill_driver.sys.
A sikeres védekezéshez elengedhetetlen a legfrissebb firmware telepítése minden SonicWall eszközön, a VPN-jelszavak és OTP-seedek újragenerálása, a hálózat logikai szegmentációja és naplózásának megerősítése, valamint a kritikus szerverek – különösen a backup- és AD-rendszerek – fokozott védelme. Emellett szükséges a BYOVD elleni védekezés, vagyis a kizárólag aláírt driverek engedélyezése és az EDR-szabályok rendszeres felülvizsgálata.
A kutatók szerint az Akira kampányai jól mutatják, hogy a ransomware-csoportok egyre inkább kombinálják a klasszikus zsarolóvírus-technikákat a legmodernebb támadási módszerekkel, így a hagyományos védelmi megoldások önmagukban már nem elegendők.