Akira Özelleşmiş Tehditlerin Artışı ve SonicWall Cihazları Üzerindeki Etkisi
Son dönemde, Akira fidye yazılım grubuyla ilişkili tehdit aktörlerinin SonicWall cihazlarını hedef alarak siber saldırılarda önemli bir artış gözlemlenmiştir. Rapid7 isimli siber güvenlik firması, geçen ay boyunca SonicWall cihazlarına yönelik gerçekleştirilen ihlallerde bir artış yaşandığını bildirmiştir. Bu artış, Temmuz 2025 sonlarında Akira fidye yazılımına dair yeniden ortaya çıkan faaliyetlerin ardından daha belirgin hale gelmiştir.
- Akira Özelleşmiş Tehditlerin Artışı ve SonicWall Cihazları Üzerindeki Etkisi
- SonicWall Güvenlik Açığı ve Kullanıcı Şifreleri
- LDAP SSL VPN Varsayılan Kullanıcı Grupları ve Güvenlik Riski
- Risk Yönetimi ve Alınabilecek Önlemler
- Aktif Saldırı İstatistikleri ve Akira’nın Etkisi
- AdaptixC2 ve Saldırı Yöntemleri
SonicWall Güvenlik Açığı ve Kullanıcı Şifreleri
SonicWall, SSL VPN aktivitelerinin, geçmişteki bir güvenlik açığından (CVE-2024-40766, CVSS puanı: 9.3) kaynaklandığını açıklamıştır. Bu açık, yerel kullanıcı şifrelerinin göç sırasında sıfırlanmamasıyla ilgilidir. SonicWall, kullanıcı kimlik bilgilerini brute-force yöntemleriyle ele geçirmeye çalışan tehdit aktörlerinin artışını gözlemlediğini belirtmektedir. Müşterilerine, bilinen tehdit aktörlerini engellemek için Botnet Filtreleme özelliğini etkinleştirmeleri ve Hesap Kilitleme politikalarını yapılandırmaları önerilmektedir.
LDAP SSL VPN Varsayılan Kullanıcı Grupları ve Güvenlik Riski
SonicWall ayrıca, kullanıcıların LDAP SSL VPN Varsayılan Kullanıcı Gruplarını gözden geçirmelerini istemektedir. Akira fidye yazılımı saldırıları bağlamında, bu ayar yanlış yapılandırıldığında “kritik bir zayıf nokta” olabilmektedir. Başarılı bir şekilde kimlik doğrulanmış LDAP kullanıcısını otomatik olarak önceden tanımlanmış bir yerel gruba ekleyen bu yapılandırma, duyarlı hizmetlere (SSL VPN, yönetici arayüzleri veya kısıtlanmamış ağ alanları gibi) erişim sağlayabilir. Dolayısıyla, her hangi bir güçlendirilmiş Active Directory (AD) hesabı, bu varsayılan gruba dahil olduğunda, bu hizmetlere erişim izni kazanmış olur.
Bu durum, tasarlanan AD grup tabanlı erişim kontrollerinin etkisini aşarak, saldırganların geçerli kimlik bilgilerini elde ettikleri anda doğrudan ağ sınırına erişim sağlamalarına olanak tanır. Rapid7, ayrıca tehdit aktörlerinin SonicWall cihazları tarafından barındırılan Virtual Office Portal üzerinden erişim sağladığını ve bu ayarlara sahip sistemlere yönelik kamuya açık erişim sağlanabileceğini ifade etmiştir.
Risk Yönetimi ve Alınabilecek Önlemler
Siber güvenlik uzmanları, Akira grubunun bu güvenlik açıklarından yararlandığını belirtmektedir. Örgütlere, tüm SonicWall yerel hesapların şifrelerini döndürmeleri, kullanılmayan veya inaktif SonicWall yerel hesapları kaldırmaları, Çok Faktörlü Kimlik Doğrulama (MFA) yapılandırmalarını sağlamaları ve Virtual Office Portal erişimini iç ağ ile sınırlamaları önerilmektedir. Bu önlemler, olası tehditlerden korunma açısından önem arz etmektedir.
Avustralya Siber Güvenlik Merkezi (ACSC), bu konuda dikkatli olunduğunu belirterek, fidye yazılım çetesi Akira’nın Avustralya’nın savunmasız kuruluşlarını hedef aldığını kaydetmiştir. Akira, Mart 2023’teki çıkışından bu yana siber tehdit ortamında sürekli bir tehdit olarak varlığını sürdürmektedir. Günümüze kadar 967 kurbanı olduğu bilgisi bulunmaktadır.
Aktif Saldırı İstatistikleri ve Akira’nın Etkisi
CYFIRMA tarafından sağlanan istatistiklere göre, Akira, Temmuz 2025’te 40 saldırıya imza atarak sürekle hareket eden gruplardan biri olmuştur. Küresel sanayi kuruluşlarına yönelik gerçekleşen 657 fidye yazılımı saldırısından Qilin, Akira ve Play fidye yazılım aileleri, sırasıyla 101, 79 ve 75 olayla en çok dikkat çeken gruplar olmuştur. Akira, üretim ve ulaştırma sektörlerine yönelik sürekli saldırılar düzenlemekle kalmayıp, karmaşık fishing saldırıları ve çok platformlu fidye yazılım dağıtımları ile sürekle etkili olmaktadır.
Son zamanlarda yaşanan Akira fidye yazılımı enfeksiyonları, popüler IT yönetim araçları için SEO zehirlenmesi yöntemlerini kullanarak trojanize yükleyicileri dağıtmakta ve bu süreçte Bumblebee zararlısını devreye sokmaktadır. Bumblebee, Akira’nın ağda kalıcı erişim sağladığı, verileri kaçırdığı ve fidye yazılımını dağıttığı bir aracı olarak kullanılmaktadır.
AdaptixC2 ve Saldırı Yöntemleri
Saldırılar, Bumblebee kullanılarak, AdaptixC2 isimli post-exploitation ve karşıt emülasyon çerçevesinin dağıtımını sağlamaktadır. AdaptixC2’nin çok yönlü yapısı, tehdit aktörlerinin komutları çalıştırmasına, dosya transferi yapmasına ve verileri sızdırmasına olanak tanımaktadır. Palo Alto Networks Unit 42, AdaptixC2’nin açık kaynak olmasının, düşmanların ihtiyaçlarına göre özelleştirilmesine imkan sağladığını vurgulamaktadır.
Akira fidye yazılım grubu, tipik bir saldırı akışını izleyerek, SSLVPN bileşeni aracılığıyla ilk erişimi elde etmekte, yetkili bir kullanıcı veya hizmet hesabına yükselmekte ve hassas dosyaları çalmaktadır. Yedeklemeleri silmek veya durdurmak ve fidye yazılımını başlatmak için hiper yapılandırma düzeyinde saldırılar gerçekleştirmektedir. Akira’nın gerçekleştirdiği bu karmaşık ve organize saldırılar, siber güvenlik alanında büyük bir tehdit oluşturmaktadır.
