Ongoing Akira Ransomware Saldırıları ve SonicWall SSL VPN Cihazları
Son dönemde siber güvenlik alanında en çok konuşulan konulardan biri, Akira fidye yazılımı saldırılarıdır. Bu saldırılar, SonicWall SSL VPN cihazlarını hedef alarak gelişimini sürdürmektedir. Araştırmalar, saldırganların OTP (tek kullanımlık şifre) multi-faktör kimlik doğrulaması etkin olan hesaplara bile erişim sağladığını göstermektedir. Uzmanlar, bu durumun daha önce çalınmış OTP tohumlarının kullanılması yoluyla gerçekleşmiş olabileceğini öne sürmektedir. Ancak, tam yöntem henüz onaylanmamıştır.
Akira Fidye Yazılımının Geçmişi ve Güvenlik Açıkları
Temmuz ayında, BleepingComputer, Akira fidye yazılımı operasyonunun SonicWall SSL VPN cihazlarını istismar ettiğini rapor etmiştir. Bu durum, araştırmacılarda bazı sıfır-gün güvenlik açıklarının istismar edildiği şüphesini uyandırmıştır. SonicWall, sonunda saldırıları, Eylül 2024’te açıklanan, CVE-2024-40766 ile izlenen bir erişim kontrol hatasına bağlamıştır.
Bu güvenlik açığı Ağustos 2024’te kapatılmış olmasına rağmen, saldırganlar, istismar edilen cihazlardan daha önce çalınmış kimlik bilgilerini kullanmaya devam etmiştir. SonicWall, saldırıları CVE-2024-40766 ile ilişkilendirdikten sonra, yöneticilerin tüm SSL VPN kimlik bilgilerini sıfırlamalarını ve cihazlarının en son SonicOS yazılımının kurulu olduğundan emin olmalarını önermiştir.
MFA Bypass Üzerine Yeni Araştırmalar
Arctic Wolf siber güvenlik firması, SonicWall güvenlik duvarlarına yönelik devam eden bir kampanyayı gözlemlemiştir. Bu kampanya, saldırganların tek kullanımlık şifre (OTP) multi-faktör kimlik doğrulaması etkin olmasına rağmen hesaplara başarıyla giriş yaptıklarını göstermektedir. Rapor, hesap giriş denemeleri için birden fazla OTP zorluğu ile birlikte başarılı girişlerin kaydedildiğini ortaya koymaktadır. Bu durum, saldırganların OTP tohumlarını ele geçirmiş olabileceği ya da geçerli jetonlar üretmek için alternatif bir yöntem bulmuş olabileceklerini düşündürmektedir.
Güvenlik Açıkları ve Saldırganların Yöntemleri
Araştırmacılar, Akira’nın nasıl MFA korumalı hesaplara kimlik doğrulama sağladığının belirsiz olduğunu belirtmektedir. Ancak, Google Tehdit İstihbarat Grubu, Temmuz ayında SonicWall VPN’lerinin istismarına dair benzer bir rapor paylaşmıştır. Bu kampanya, mali yönelimli bir grup olarak sınıflandırılan UNC6148 tarafından gerçekleştirilmiştir. Bu grup, SMA 100 serisi cihazlarda OVERSTEP kök kitini dağıtmıştır ve bunun, daha önce çalınmış OTP tohumlarını kullanarak etkin hale geldiği düşünülmektedir.
Google, saldırganların önceden çalınmış tek kullanımlık şifre tohumlarını kullanarak, güvenlik güncellemeleri uygulanmış olsalar bile cihazlara yeniden erişim sağladıklarını belirtmektedir.
İç Ağa Hızlı Giriş ve Bilgi İfşası
Akira grubunun iç ağa girişi gerçekleştikten sonra oldukça hızlı harekete geçtiği rapor edilmektedir. Araştırmacılar, saldırganların iç ağı 5 dakika içinde taradığını ve Impacket SMB oturum açma talepleri, RDP girişleri ile Active Directory nesnelerini listeleme gerçekleştirdiklerini gözlemlemiştir. Özellikle, Veeam Backup & Replication sunucularına odaklanarak, saklanan MSSQL ve PostgreSQL kimlik bilgilerini çıkarmak ve şifrelerini çözmek için özel bir PowerShell betiği kullanmayı tercih etmiştirler.
Saldırganlar, güvenlik yazılımlarından kaçınmak için, Microsoft’un geçerli olan consent.exe yürütülebilir dosyasını kötüye kullanarak Bring-Your-Own-Vulnerable-Driver (BYOVD) saldırıları gerçekleştirmiştir. Bu sayede, kötü amaçlı DLL’ler yüklenerek, güvenlik süreçleri devre dışı bırakılmış ve fidye yazılımı şifreleyicileri çalıştırılabilmiştir.
SonicWall Cihazları ve Yöneticilerin Alması Gereken Önlemler
Rapor, bu saldırıların SonicOS 7.3.0 sürümünü çalıştıran cihazları etkilediğini vurgulamaktadır. Bu sürüm, SonicWall’ın yönetimcileri, kimlik bilgisi saldırılarını azaltmak için kurulumlarını önerdiği en güncel versiyondur. Yönetimcilerin, daha önce güvenlik açığı barındıran yazılımı kullanan her cihaz için tüm VPN kimlik bilgilerini sıfırlamaları kesinlikle gerekmektedir. Güncelleme yapılmış olsa bile, saldırganlar çalınmış hesapları kullanarak kurumsal ağlara yeniden erişim sağlayabilir.
Siber güvenlikteki gelişmeler göz önüne alındığında, şirketlerin mevcut tehditlere karşı daha dikkatli olmaları ve güvenlik önlemlerini sürekli güncellemeleri son derece önemlidir. Bu tür saldırılar, sadece teknik gereksinimlerle sınırlı kalmayıp, aynı zamanda organizasyonel stratejilerin de gözden geçirilmesini zorunlu kılmaktadır.
