Akira-ransomwaregroep misbruikt SonicWall-apparaten voor aanvallen

Deze specifieke kwetsbaarheid, bekend als CVE SNWLID-2024-0015, werd al in augustus 2024 door SonicWall erkend en aangepakt met patches. Rapid7's onderzoek wijst echter uit dat de Akira-groep systemen binnendringt bij organisaties die de remediatiemaatregelen niet volledig hebben doorgevoerd. De criminelen combineren dit met andere beveiligingsrisico's, zoals misconfiguraties in de SSLVPN Default Users Group en de Virtual Office Portal.

De aanvalsmethode van de Akira-groep volgt een vast patroon: ze verkrijgen toegang via de SSLVPN, escaleren hun privileges naar een beheerdersaccount, stelen gevoelige data van netwerkshares of bestandsservers, wissen back-ups en versleutelen de systemen met ransomware.

Advies

Rapid7 adviseert organisaties die SonicWall-apparaten gebruiken om onmiddellijk actie te ondernemen. Belangrijke stappen zijn het veranderen van wachtwoorden van alle lokale SonicWall-accounts, het instellen van multifactorauthenticatie (MFA) voor alle SSLVPN-diensten, en het beperken van de toegang tot de Virtual Office Portal. Daarnaast is het cruciaal om alle SonicWall-apparaten te voorzien van de meest recente patches en om back-ups te beveiligen en te isoleren van het netwerk.

De Akira-ransomwaregroep is sinds begin 2023 actief en staat bekend om hun agressieve benadering van edge-apparaten. Door hun aanvalsgedrag aan te passen aan deze specifieke kwetsbaarheden, tonen ze opnieuw hun vermogen om in te spelen op actuele beveiligingslekken in de markt.