سواستفاده باج‌افزار Akira از VPNهای SonicWall – احتمال حمله روز صفر به دستگاه‌های کاملاً به‌روز

دستگاه‌های SSL VPN شرکت SonicWall به هدف جدید حملات باج‌افزار Akira تبدیل شده‌اند، آن‌هم در پی افزایش چشمگیر فعالیت‌های این گروه در اواخر ژوئیه ۲۰۲۵.

به‌گفته‌ی «جولیان توئین»، پژوهشگر شرکت امنیت سایبری Arctic Wolf Labs، در گزارشی که منتشر کرده است:

«در حملاتی که بررسی شد، چندین نفوذ پیش از اجرای باج‌افزار در بازه زمانی کوتاهی رخ داده که همگی شامل دسترسی به VPN از طریق SSL VPNهای SonicWall بوده‌اند.»

این شرکت امنیتی احتمال می‌دهد مهاجمان از یک آسیب‌پذیری ناشناخته در این دستگاه‌ها سوءاستفاده کرده باشند — چیزی که در اصطلاح امنیتی به آن روز-صفر (zero-day) می‌گویند — چرا که برخی از این حملات حتی دستگاه‌های کاملاً به‌روز را نیز تحت تأثیر قرار داده‌اند.
با این حال، هنوز احتمال حملات مبتنی بر سرقت یا سوءاستفاده از اعتبارنامه‌ها (credentials) برای دسترسی اولیه منتفی نشده است.

افزایش این حملات از تاریخ ۱۵ ژوئیه ۲۰۲۵ به‌طور رسمی ثبت شده، اما Arctic Wolf اعلام کرده که فعالیت‌های مشکوک مشابه، از اکتبر ۲۰۲۴ نیز مشاهده شده، که نشان‌دهنده‌ی یک تلاش مداوم و هدفمند برای نفوذ به این دستگاه‌هاست.

در این گزارش آمده است:

«بین دسترسی اولیه به حساب‌های VPN و رمزگذاری باج‌افزار، فاصله زمانی کوتاهی مشاهده شد. بر خلاف ورودهای قانونی به VPN که معمولاً از طریق شبکه‌های ارائه‌دهندگان اینترنت خانگی انجام می‌شوند، گروه‌های باج‌افزاری اغلب از سرورهای خصوصی مجازی (VPS) برای احراز هویت در محیط‌های آلوده استفاده می‌کنند.»

تلاش‌ها برای دریافت توضیح از شرکت SonicWall درباره جزئیات این حملات تا زمان انتشار این گزارش بی‌پاسخ مانده است.
توصیه‌ی کارشناسان امنیتی این است که سازمان‌ها تا زمان انتشار و اعمال وصله‌ی امنیتی (patch)، سرویس SSL VPN در دستگاه‌های SonicWall را غیرفعال کنند، چرا که احتمال وجود آسیب‌پذیری روز-صفر زیاد است.

سایر اقدامات پیشنهادی برای محافظت بهتر عبارت‌اند از:

• فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای دسترسی از راه دور

• حذف حساب‌های کاربری غیرفعال یا بلااستفاده در فایروال

• رعایت اصول صحیح در انتخاب و مدیریت رمز عبور

بر اساس برآوردها، از اوایل سال ۲۰۲۴، عاملان باج‌افزار Akira توانسته‌اند حدود ۴۲ میلیون دلار از بیش از ۲۵۰ قربانی اخاذی کنند. این باج‌افزار نخستین‌بار در مارس ۲۰۲۳ ظاهر شد.

طبق آمار منتشرشده از سوی شرکت Check Point، گروه Akira در سه‌ماهه دوم سال ۲۰۲۵ پس از گروه Qilin در رتبه دوم فعالیت قرار داشته و در این بازه زمانی، ۱۴۳ قربانی را هدف قرار داده است.

همچنین در این گزارش آمده:

«گروه باج‌افزار Akira تمرکز ویژه‌ای بر ایتالیا دارد؛ به‌طوری که ۱۰٪ از قربانیان آن شرکت‌های ایتالیایی هستند، در حالی‌که این رقم در کل اکوسیستم تنها ۳٪ است.»

منبع: https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html