Lỗ hổng SonicWall SSL VPN đang bị tin tặc Akira Ransomware khai thác tích cực

[Starlink]

Các tác nhân đe dọa liên kết với nhóm ransomware Akira vẫn tiếp tục nhắm mục tiêu vào các thiết bị SonicWall để truy cập ban đầu.

Công ty an ninh mạng Rapid7 cho biết họ đã quan sát thấy sự gia tăng đột biến các vụ xâm nhập liên quan đến thiết bị SonicWall trong tháng qua, đặc biệt là sau các báo cáo về hoạt động ransomware Akira mới diễn ra kể từ cuối tháng 7 năm 2025.

SonicWall sau đó tiết lộ hoạt động VPN SSL nhắm vào tường lửa của mình liên quan đến lỗ hổng bảo mật đã tồn tại một năm ( CVE-2024-40766, điểm CVSS: 9,3) trong đó mật khẩu người dùng cục bộ được chuyển tiếp trong quá trình di chuyển và không được đặt lại.

"Chúng tôi đang quan sát thấy hoạt động đe dọa gia tăng từ các tác nhân cố gắng tấn công brute-force thông tin đăng nhập của người dùng", công ty lưu ý. "Để giảm thiểu rủi ro, khách hàng nên bật tính năng Lọc Botnet để chặn các tác nhân đe dọa đã biết và đảm bảo chính sách Khóa Tài khoản được bật."

SonicWall cũng khuyến cáo người dùng xem xét Nhóm người dùng mặc định của LDAP SSL VPN, mô tả đây là "điểm yếu nghiêm trọng" nếu cấu hình sai trong bối cảnh bị tấn công bằng phần mềm tống tiền Akira --

Cài đặt này tự động thêm mọi người dùng LDAP đã xác thực thành công vào một nhóm cục bộ được xác định trước, bất kể họ có thực sự là thành viên của Active Directory hay không. Nếu nhóm mặc định đó có quyền truy cập vào các dịch vụ nhạy cảm – chẳng hạn như SSL VPN, giao diện quản trị hoặc vùng mạng không giới hạn – thì bất kỳ tài khoản AD nào bị xâm phạm, ngay cả tài khoản không có nhu cầu chính đáng đối với các dịch vụ đó, sẽ ngay lập tức được thừa hưởng các quyền đó.

Điều này có hiệu quả trong việc bỏ qua các biện pháp kiểm soát truy cập dựa trên nhóm AD, tạo cho kẻ tấn công một đường dẫn trực tiếp vào chu vi mạng ngay khi chúng có được thông tin xác thực hợp lệ.

Trong cảnh báo của mình, Rapid7 cho biết họ cũng đã quan sát thấy các tác nhân đe dọa truy cập vào Cổng thông tin văn phòng ảo do các thiết bị SonicWall lưu trữ. Trong một số cấu hình mặc định, cổng này có thể tạo điều kiện cho việc truy cập công khai và cho phép kẻ tấn công cấu hình mMFA/TOTP bằng các tài khoản hợp lệ, với giả định rằng đã có thông tin xác thực trước đó.

"Nhóm Akira có khả năng sử dụng kết hợp cả ba rủi ro bảo mật này để truy cập trái phép và thực hiện các hoạt động tống tiền", báo cáo cho biết.

Để giảm thiểu rủi ro, các tổ chức được khuyên nên thay đổi mật khẩu trên tất cả tài khoản cục bộ SonicWall, xóa mọi tài khoản cục bộ SonicWall không sử dụng hoặc không hoạt động, đảm bảo chính sách MFA/TOTP được cấu hình và hạn chế quyền truy cập Cổng thông tin văn phòng ảo vào mạng nội bộ.

Việc Akira nhắm mục tiêu vào SonicWall SSL VPN cũng được Trung tâm An ninh mạng Úc (ACSC) hưởng ứng, khi thừa nhận rằng họ biết về băng nhóm ransomware đang tấn công các tổ chức dễ bị tổn thương của Úc thông qua các thiết bị này.

Kể từ khi ra mắt vào tháng 3 năm 2023, Akira đã trở thành mối đe dọa dai dẳng trong bối cảnh mã độc tống tiền, với 967 nạn nhân tính đến nay, theo thông tin từ   Đăng nhập để xem liên kết. Theo thống kê do CYFIRMA chia sẻ, Akira đã gây ra 40 vụ tấn công trong tháng 7 năm 2025, trở thành nhóm hoạt động mạnh thứ ba sau Qilin và INC Ransom.

Trong số 657 cuộc tấn công ransomware ảnh hưởng đến các thực thể công nghiệp trên toàn thế giới được ghi nhận trong quý 2 năm 2025, các họ ransomware Qilin, Akira và Play chiếm ba vị trí hàng đầu, mỗi nhóm báo cáo lần lượt 101, 79 và 75 sự cố.

Công ty an ninh mạng công nghiệp Dragos cho biết trong một báo cáo được công bố vào tháng trước rằng Akira đã duy trì "hoạt động đáng kể với mục tiêu liên tục nhắm vào các lĩnh vực sản xuất và vận tải thông qua các hoạt động lừa đảo tinh vi và triển khai phần mềm tống tiền đa nền tảng".

Các vụ nhiễm ransomware Akira gần đây cũng đã tận dụng các kỹ thuật đầu độc công cụ tối ưu hóa công cụ tìm kiếm (SEO) để cung cấp trình cài đặt trojan cho các công cụ quản lý CNTT phổ biến, sau đó được sử dụng để thả trình tải phần mềm độc hại Bumblebee.

Sau đó, các cuộc tấn công sử dụng Bumblebee làm phương tiện để phân phối nền tảng mô phỏng đối kháng và khai thác AdaptixC2, cài đặt RustDesk để truy cập từ xa liên tục, đánh cắp dữ liệu và triển khai phần mềm tống tiền.

Theo Palo Alto Networks Unit 42, tính linh hoạt và mô-đun của AdaptixC2 cho phép kẻ tấn công thực thi lệnh, truyền tệp và đánh cắp dữ liệu trên các hệ thống bị nhiễm. Việc AdaptixC2 là mã nguồn mở đồng nghĩa với việc kẻ tấn công có thể tùy chỉnh nó để phù hợp với nhu cầu của chúng.

Công ty an ninh mạng cho biết các chiến dịch khác lan truyền AdaptixC2 đã sử dụng các cuộc gọi Microsoft Teams giả mạo bộ phận trợ giúp CNTT để lừa người dùng nhẹ dạ cả tin cấp cho chúng quyền truy cập từ xa thông qua Quick Assist và thả một tập lệnh PowerShell giải mã và tải vào bộ nhớ nội dung mã shell.

Rapid7 cho biết: "Nhóm ransomware Akira thực hiện theo quy trình tấn công tiêu chuẩn: giành quyền truy cập ban đầu thông qua thành phần SSLVPN, nâng cao đặc quyền cho tài khoản hoặc tài khoản dịch vụ, định vị và đánh cắp các tệp nhạy cảm từ các chia sẻ mạng hoặc máy chủ tệp, xóa hoặc dừng sao lưu và triển khai mã hóa ransomware ở cấp độ trình quản lý siêu giám sát".