Группировка вымогателей Akira активно использует комбинацию из уязвимости годичной давности и распространенных ошибок в конфигурации устройств SonicWall SSL VPN для получения первоначального доступа к корпоративным сетям. Кампания подтверждена несколькими фирмами по кибербезопасности и государственными агентствами.
Основной вектор атаки нацелен на критическую уязвимость CVE-2024-40766 с рейтингом CVSS 9.3. Проблема заключается в том, что при миграции устройств пароли локальных пользователей переносились, но не сбрасывались, создавая брешь в безопасности. Злоумышленники эксплуатируют этот недостаток, проводя атаки методом перебора учетных данных на этих устройствах.
Второй компонент атаки — это неверная конфигурация групп пользователей по умолчанию для LDAP SSL VPN, которую сама компания SonicWall охарактеризовала как «критическую слабую точку». Эта настройка автоматически добавляет любого успешно аутентифицированного пользователя LDAP в предопределенную локальную группу, независимо от его фактического членства в группах Active Directory. Если эта группа по умолчанию имеет высокие привилегии, любая скомпрометированная учетная запись AD мгновенно получает расширенные права доступа, обходя все средства контроля.
Третья брешь была выявлена фирмой по кибербезопасности Rapid7. Некоторые конфигурации портала Virtual Office, размещенного на устройствах SonicWall, по умолчанию могут быть доступны из общедоступного интернета. Если у атакующего есть действительные учетные данные пользователя, полученные в результате предыдущей утечки, он может получить доступ к порталу и настроить собственный механизм многофакторной аутентификации (MFA/TOTP) для этой учетной записи, обеспечивая себе постоянный доступ.
Группировка Akira, впервые появившаяся в марте 2023 года, остается одной из самых серьезных угроз. По данным проекта , на ее счету числится 967 жертв. Согласно статистике CYFIRMA, в июле 2025 года Akira заняла третье место по активности, совершив 40 атак и уступив только Qilin и INC Ransom.
Компания по промышленной кибербезопасности Dragos сообщает, что во втором квартале 2025 года Akira была второй по активности группой, нацеленной на промышленные предприятия. Из 657 зафиксированных атак на долю Akira пришлось 79 инцидентов, в то время как у лидера Qilin был 101 инцидент, а у Play ransomware — 75. Основными целями Akira в промышленном секторе остаются производственные и транспортные компании.
После получения первоначального доступа атака развивается в несколько этапов. Один из векторов заражения начинается с отравления SEO-трафика (SEO poisoning), когда пользователям подсовывают троянизированные установщики популярных инструментов для ИТ-администрирования. В результате на систему жертвы загружается вредоносное ПО Bumblebee.
Загрузчик Bumblebee используется для распространения дальнейших инструментов, в первую очередь — фреймворка AdaptixC2, предназначенного для постэксплуатации и эмуляции действий противника. Анализ, проведенный Palo Alto Networks Unit 42, показал, что AdaptixC2 является универсальным, модульным инструментом с открытым исходным кодом, который позволяет выполнять команды, передавать файлы и похищать данные. Для обеспечения постоянного удаленного доступа также устанавливается программа RustDesk.
Зафиксирован и альтернативный метод доставки AdaptixC2 с использованием социальной инженерии. Злоумышленники звонят жертве через Microsoft Teams, выдавая себя за сотрудников службы технической поддержки, и обманом заставляют предоставить удаленный доступ через Quick Assist. После этого выполняется PowerShell-скрипт, который расшифровывает и загружает вредоносный код в память системы. Конечными целями являются хищение данных и развертывание программы-вымогателя Akira.
Австралийский центр кибербезопасности (ACSC) подтвердил, что группировка Akira целенаправленно атакует уязвимые организации в Австралии, используя описанные методы проникновения через устройства SonicWall.
Организациям, использующим устройства SonicWall, рекомендуется немедленно предпринять следующие шаги: сменить пароли для всех локальных учетных записей SonicWall; удалить все неиспользуемые или неактивные локальные учетные записи; включить фильтрацию ботнетов для блокировки известных вредоносных субъектов; активировать политики блокировки учетных записей для предотвращения атак методом перебора; настроить и принудительно использовать MFA/TOTP; ограничить доступ к порталу Virtual Office только из внутренней сети; пересмотреть и перенастроить группы пользователей по умолчанию для LDAP SSL VPN, чтобы исключить предоставление непреднамеренного широкого доступа.
Изображение носит иллюстративный характер
Основной вектор атаки нацелен на критическую уязвимость CVE-2024-40766 с рейтингом CVSS 9.3. Проблема заключается в том, что при миграции устройств пароли локальных пользователей переносились, но не сбрасывались, создавая брешь в безопасности. Злоумышленники эксплуатируют этот недостаток, проводя атаки методом перебора учетных данных на этих устройствах.
Второй компонент атаки — это неверная конфигурация групп пользователей по умолчанию для LDAP SSL VPN, которую сама компания SonicWall охарактеризовала как «критическую слабую точку». Эта настройка автоматически добавляет любого успешно аутентифицированного пользователя LDAP в предопределенную локальную группу, независимо от его фактического членства в группах Active Directory. Если эта группа по умолчанию имеет высокие привилегии, любая скомпрометированная учетная запись AD мгновенно получает расширенные права доступа, обходя все средства контроля.
Третья брешь была выявлена фирмой по кибербезопасности Rapid7. Некоторые конфигурации портала Virtual Office, размещенного на устройствах SonicWall, по умолчанию могут быть доступны из общедоступного интернета. Если у атакующего есть действительные учетные данные пользователя, полученные в результате предыдущей утечки, он может получить доступ к порталу и настроить собственный механизм многофакторной аутентификации (MFA/TOTP) для этой учетной записи, обеспечивая себе постоянный доступ.
Группировка Akira, впервые появившаяся в марте 2023 года, остается одной из самых серьезных угроз. По данным проекта , на ее счету числится 967 жертв. Согласно статистике CYFIRMA, в июле 2025 года Akira заняла третье место по активности, совершив 40 атак и уступив только Qilin и INC Ransom.
Компания по промышленной кибербезопасности Dragos сообщает, что во втором квартале 2025 года Akira была второй по активности группой, нацеленной на промышленные предприятия. Из 657 зафиксированных атак на долю Akira пришлось 79 инцидентов, в то время как у лидера Qilin был 101 инцидент, а у Play ransomware — 75. Основными целями Akira в промышленном секторе остаются производственные и транспортные компании.
После получения первоначального доступа атака развивается в несколько этапов. Один из векторов заражения начинается с отравления SEO-трафика (SEO poisoning), когда пользователям подсовывают троянизированные установщики популярных инструментов для ИТ-администрирования. В результате на систему жертвы загружается вредоносное ПО Bumblebee.
Загрузчик Bumblebee используется для распространения дальнейших инструментов, в первую очередь — фреймворка AdaptixC2, предназначенного для постэксплуатации и эмуляции действий противника. Анализ, проведенный Palo Alto Networks Unit 42, показал, что AdaptixC2 является универсальным, модульным инструментом с открытым исходным кодом, который позволяет выполнять команды, передавать файлы и похищать данные. Для обеспечения постоянного удаленного доступа также устанавливается программа RustDesk.
Зафиксирован и альтернативный метод доставки AdaptixC2 с использованием социальной инженерии. Злоумышленники звонят жертве через Microsoft Teams, выдавая себя за сотрудников службы технической поддержки, и обманом заставляют предоставить удаленный доступ через Quick Assist. После этого выполняется PowerShell-скрипт, который расшифровывает и загружает вредоносный код в память системы. Конечными целями являются хищение данных и развертывание программы-вымогателя Akira.
Австралийский центр кибербезопасности (ACSC) подтвердил, что группировка Akira целенаправленно атакует уязвимые организации в Австралии, используя описанные методы проникновения через устройства SonicWall.
Организациям, использующим устройства SonicWall, рекомендуется немедленно предпринять следующие шаги: сменить пароли для всех локальных учетных записей SonicWall; удалить все неиспользуемые или неактивные локальные учетные записи; включить фильтрацию ботнетов для блокировки известных вредоносных субъектов; активировать политики блокировки учетных записей для предотвращения атак методом перебора; настроить и принудительно использовать MFA/TOTP; ограничить доступ к порталу Virtual Office только из внутренней сети; пересмотреть и перенастроить группы пользователей по умолчанию для LDAP SSL VPN, чтобы исключить предоставление непреднамеренного широкого доступа.
