В конце июля 2025 года зафиксирована новая волна атак с использованием программы-вымогателя Akira, нацеленная на устройства SonicWall SSL VPN. Расследования показывают, что злоумышленники получают первоначальный доступ к корпоративным сетям, эксплуатируя, с высокой долей вероятности, ранее неизвестную уязвимость нулевого дня. Этот вывод основан на том, что атакам подверглись даже системы, на которых были установлены все актуальные обновления безопасности.
Резкий рост числа инцидентов, связанных с SonicWall, был официально зарегистрирован 15 июля 2025 года. Однако анализ активности показывает, что это не единичная кампания, а часть продолжительной операции. Схожие по тактике вредоносные входы в систему через VPN наблюдались еще в октябре 2024 года, что свидетельствует о длительном и целенаправленном интересе злоумышленников к данным устройствам.
Характерной чертой атак является их скорость. Специалисты отмечают «короткий интервал» между моментом получения доступа через VPN и последующим развертыванием программы-вымогателя для шифрования данных в сети жертвы. Хотя теория об использовании украденных учетных данных не исключается, основным вектором считается эксплуатация уязвимости.
Атаки отличает и используемая инфраструктура. Злоумышленники для аутентификации в VPN-сервисах преимущественно используют хостинг на виртуальных частных серверах (VPS). Это контрастирует с поведением легитимных пользователей, которые, как правило, подключаются к корпоративным ресурсам из сетей обычных интернет-провайдеров.
В связи с высокой вероятностью наличия уязвимости нулевого дня, эксперты по кибербезопасности из компании Arctic Wolf Labs рекомендуют организациям принять незамедлительные меры. Основная рекомендация — полное отключение сервиса SonicWall SSL VPN до тех пор, пока производитель не выпустит и не развернет соответствующее исправление безопасности.
Группировка Akira, впервые появившаяся в марте 2023 года, быстро стала значимым игроком на ландшафте программ-вымогателей. По данным на начало 2024 года, операторы группы получили выкупов на сумму около 42 миллионов долларов, атаковав более 250 организаций по всему миру.
Согласно статистике от компании Check Point, во втором квартале 2025 года Akira заняла второе место по активности среди всех групп вымогателей, уступив только группировке Qilin. За этот период Akira заявила об атаке на 143 новые жертвы, что подтверждает ее высокий операционный темп.
Исследователь Arctic Wolf Labs Джулиан Туин обращает внимание на географическую особенность деятельности Akira. Группировка проявляет «особый интерес» к целям в Италии. На итальянские компании приходится 10% от всех жертв Akira, в то время как в общей экосистеме программ-вымогателей доля итальянских жертв составляет всего 3%.
Изображение носит иллюстративный характер
Резкий рост числа инцидентов, связанных с SonicWall, был официально зарегистрирован 15 июля 2025 года. Однако анализ активности показывает, что это не единичная кампания, а часть продолжительной операции. Схожие по тактике вредоносные входы в систему через VPN наблюдались еще в октябре 2024 года, что свидетельствует о длительном и целенаправленном интересе злоумышленников к данным устройствам.
Характерной чертой атак является их скорость. Специалисты отмечают «короткий интервал» между моментом получения доступа через VPN и последующим развертыванием программы-вымогателя для шифрования данных в сети жертвы. Хотя теория об использовании украденных учетных данных не исключается, основным вектором считается эксплуатация уязвимости.
Атаки отличает и используемая инфраструктура. Злоумышленники для аутентификации в VPN-сервисах преимущественно используют хостинг на виртуальных частных серверах (VPS). Это контрастирует с поведением легитимных пользователей, которые, как правило, подключаются к корпоративным ресурсам из сетей обычных интернет-провайдеров.
В связи с высокой вероятностью наличия уязвимости нулевого дня, эксперты по кибербезопасности из компании Arctic Wolf Labs рекомендуют организациям принять незамедлительные меры. Основная рекомендация — полное отключение сервиса SonicWall SSL VPN до тех пор, пока производитель не выпустит и не развернет соответствующее исправление безопасности.
Группировка Akira, впервые появившаяся в марте 2023 года, быстро стала значимым игроком на ландшафте программ-вымогателей. По данным на начало 2024 года, операторы группы получили выкупов на сумму около 42 миллионов долларов, атаковав более 250 организаций по всему миру.
Согласно статистике от компании Check Point, во втором квартале 2025 года Akira заняла второе место по активности среди всех групп вымогателей, уступив только группировке Qilin. За этот период Akira заявила об атаке на 143 новые жертвы, что подтверждает ее высокий операционный темп.
Исследователь Arctic Wolf Labs Джулиан Туин обращает внимание на географическую особенность деятельности Akira. Группировка проявляет «особый интерес» к целям в Италии. На итальянские компании приходится 10% от всех жертв Akira, в то время как в общей экосистеме программ-вымогателей доля итальянских жертв составляет всего 3%.
