הקאמבק של קבוצת אקירה: ניצלה פגיעות בסוניקוול למתקפת כופרה

קבוצת פושעי הסייבר אקירה חידשה את פעילותה, וערכה מתקפות סייבר שמנצלות פגיעות שמשפיעה על חלק מהפיירוולים של סוניקוול – כך פרסמו באחרונה חוקרים ברפיד7.

לפי החוקרים, "הבחנו בזינוק בפריצות למכשירים שמוגנים על ידי סוניקוול במהלך החודש האחרון, במיוחד בעקבות דיווחים על פעילות מחודשת של חברי כנופיית אקירה מאז סוף יולי 2025".

מה לעשות כדי להפחית את הסיכון?

החוקרים ציינו כי ההאקרים ניצלו חולשה בדרגת חומרה קריטית (CVSS: 9.3), שסווגה כ-CVE-2024-40766. החולשה התגלתה באוגוסט אשתקד, וניתן לעשות בה שימוש כדי לקבל גישה לא לגיטימית למכשירים שהפיירוול של סוניקוול מגן עליהם – כאשר ה-SSLVPN מופעל. המכשירים המושפעים הם פיירוולים מגרסאות דור 5, 6 ו-7 של סוניקוול.

"אנחנו צופים בפעילות איומים מוגברת מצד שחקנים המנסים לחלץ את אישורי המשתמש", ציינו חוקרי רפיד7. "כדי להפחית סיכונים, על הלקוחות הארגוניים לסנן בוטנטים – כדי לחסום שחקני איומים ידועים, ולהבטיח שמדיניות האבטחה מופעלת וממומשת".

הם מסרו כי "הבחנו במסע מתקפות מתמשך, שמתמקד במכשירי סוניקוול, ובחנו האם מדובר בהמשך פעילות זדונית שיוחסה בעבר לאקירה". להערכתם, פעילות הכופרה האחרונה מצביעה על כך שאקירה חידשה את המתקפות שלה.

חוקרי חברת האבטחה ציינו ש-"הבחנו גם בשחקני איומים שניגשים לפורטל המשרד הווירטואלי המתארח על מכשירי סוניקוול. בתצורות ברירת מחדל מסוימות, הדבר עלול להקל על השגת הגישה על ידי ההאקרים, ולאפשר לתוקפים להגדיר אישורים כאילו היו חוקיים. קבוצת אקירה מנצלת את כל שלושת סיכוני האבטחה הללו כדי להשיג גישה לא מורשית ולבצע פעולות כופרה".

מה אמרו בסוניקוול?

בחודש שעבר מסרה סוניקוול כי "לאחר שבדקנו את הבעיה ביסודיות, אנחנו קובעים שהבעיה אינה חולשת יום אפס חדשה או פגיעות לא ידועה", ואיששה שמדובר בניצול החולשה שהתגלתה באוגוסט אשתקד.

בנוסף, ציינה החברה, "היקף הפגיעה הוא קטן ועומד על פחות מ-40 מקרים מאומתים. נראה שהבעיה קשורה לשימוש באישורים מדור קודם במהלך הגירות של מערך ההגנה מפיירוול דור 6 לדור 7. הוצאנו הנחיות מעודכנות, כולל צעדים לשינוי אישורים ושדרוג ל-SonicOS 7.3.0, שכוללת הגנות MFA (אימות רב שלבי – י"ה) משופרות".

הקבוצה השלישית הפעילה ביותר בעולם הכופרות

ההתמקדות של אקירה בשירותי ה-VPN של SonicWall SSL הודהדה גם על ידי מרכז אבטחת הסייבר האוסטרלי (ACSC), שפרסם כי הוא "מודע לכך שכנופיית הכופרה פוגעת בארגונים אוסטרליים".

מאז "הופעת הבכורה" שלה במרץ 2023, אקירה היוותה איום מתמשך בנוף איומי הכופרות, ותקפה בהצלחה כמעט 1,000 קורבנות. ביולי האחרון הקבוצה הייתה אחראית ל-40 התקפות – מה שהפך אותה לקבוצה השלישית הפעילה ביותר בעולם הכופרות, אחרי Qilin ו-INC Ransom.

אחד החוקרים ציין כי "הכנופייה מתמקדת באופן עקבי בארגונים ממגזרי הייצור והתחבורה. היא עושה זאת באמצעות פישינג מתוחכם ופריסות כופרות על פלטפורמות רבות".

"קבוצת אקירה", סיכמו חוקרי ראפיד7, "פועלת באופן עקבי ו-'תקני', והיא בונה מתקפה בכמה שלבים: השגת גישה ראשונית דרך רכיב SSLVPN, הסלמת הרשאות, איתור וגניבת קבצים רגישים, מחיקה או עצירה של גיבויים ופריסת כופרות ברמת ה-Hypervisor".