Akira Ransomware Tehditi ve SonicWall Güvenlik Açığı
Son dönemde, SonicWall güvenlik duvarı cihazları, temmuz ayının sonlarından itibaren artan Akira ransomware saldırılarının hedefi haline geldi. Siber güvenlik şirketi Arctic Wolf, bu saldırıların daha önce bilinmeyen bir güvenlik açığını istismar ediyor olabileceğini bildiriyor. Akira, 2023’ün Mart ayında ortaya çıkmış ve kısa sürede dünya genelinde birçok sektördeki kurbanları hedef almayı başarmıştır.
- Akira Ransomware Tehditi ve SonicWall Güvenlik Açığı
- Akira’nın Yükselişi ve Hedefleri
- SSL VPN Üzerinden Yetkisiz Erişim
- Artan Ransomware Faaliyetleri ve Hedeflenen Cihazlar
- SonicWall SSL VPN Servislerinin Geçici Olarak Devre Dışı Bırakılması
- SMA 100 Cihazlarının Güvenliğini Sağlama
- Tehditlerin İzlenmesi ve Önlemler
Akira’nın Yükselişi ve Hedefleri
Akira ransomware, yalnızca son iki yılda 300’ün üzerinde kurumu karanlık ağ sızıntı portalına ekledi. Yüksek profilli kurbanlar arasında Nissan (Okyanusya ve Avustralya), Hitachi ve Stanford Üniversitesi bulunmaktadır. FBI, Akira ransomware çetesi tarafından Nisan 2024 itibarıyla 250’den fazla kurbandan 42 milyon dolardan fazla fidye toplandığını belirtmektedir.
SSL VPN Üzerinden Yetkisiz Erişim
Arctic Wolf’un gözlemlerine göre, çok sayıda ransomware saldırısında, 15 Temmuz itibarıyla SonicWall SSL VPN bağlantıları üzerinden yetkisiz erişim sağlandığı görülmüştür. Bu saldırılarda istismar edilen bir sıfır gün açığının varlığı oldukça muhtemel, ancak Arctic Wolf, kimlik bilgilerine dayalı saldırıları da göz ardı etmemektedir.
Arctic Wolf Labs araştırmacıları, “Bu kampanyada ilk erişim yöntemleri henüz doğrulanmamıştır” uyarısında bulundu. “Sıfır gün açığının varlığı son derece olası olmakla birlikte, brute force, sözlük saldırıları ve kimlik bilgileri üfleme yöntemleri de kesin olarak dışlanmamıştır.”
Artan Ransomware Faaliyetleri ve Hedeflenen Cihazlar
Artan ransomware faaliyetleri sırasında, saldırganlar hızlı bir şekilde SSL VPN hesapları aracılığıyla ilk ağ erişiminden veri şifrelemeye geçiş yaptı. Bu, en az Ekim 2024’ten itibaren tespit edilen benzer saldırılarla tutarlı bir desen göstermektedir. Arctic Wolf ayrıca, ransomware operatörlerinin VPN kimlik doğrulaması için sanal özel sunucu (VPS) barındırma kullandığını belirtmiştir, oysaki meşru VPN bağlantıları genellikle geniş bant internet servis sağlayıcılarından gelmektedir.
Araştırmacılar, bu kampanyada kullanılan saldırı yöntemlerini incelemeye devam etmekte ve savunucular için daha fazla bilgi sunmayı planlamaktadır.
SonicWall SSL VPN Servislerinin Geçici Olarak Devre Dışı Bırakılması
SonicWall’ın hedef alındığı göz önüne alındığında, Arctic Wolf, yöneticilere SonicWall SSL VPN servislerini geçici olarak devre dışı bırakma önerisinde bulundu. Ayrıca, iyileştirilmiş log tutma, son nokta izleme ve barındırma ile ilgili ağ sağlayıcılardan gelen VPN kimlik doğrulamasını engelleme gibi ek güvenlik önlemleri uygulamaları gerektiğini vurguladı.
SMA 100 Cihazlarının Güvenliğini Sağlama
Arctic Wolf’un raporu, SonicWall’ın müşterilerini SMA 100 cihazlarının kritik bir güvenlik açığına karşı yamalamaya yönelik uyarısından bir hafta sonra geldi. CVE-2025-40599 güvenlik açığının, yamalanmamış cihazlarda uzaktan kod çalıştırmak için istismar edilebileceği belirtilmiştir. SonicWall, yöneticilerin bu cihazları koruması gerektiğini belirtmiştir.
Açıklığa göre, CVE-2025-40599 istismarında saldırganların yönetici ayrıcalıklarına ihtiyaç duyduğu ve bu açığın etkin bir şekilde istismar edildiğine dair bir kanıt bulunmadığı ifade edilmiştir. Özellikle, GTIG (Google Tehdit İstihbarat Grubu) araştırmacıları tarafından belirtildiği gibi, SMA 100 cihazlarının kullanılan kimlik bilgileri ile yapılan saldırılara karşı korunması gerektiği vurgulanmıştır.
Tehditlerin İzlenmesi ve Önlemler
SonicWall, SMA 100 sanal veya fiziksel cihaz sahiplerinin GTIG raporundan kompromitasyon göstergeleri (IoCs) kontrol etmelerini şiddetle tavsiye etti. Yöneticilerin, yetkisiz erişim ve her türlü şüpheli etkinlik için logları gözden geçirmeleri gerektiği ve herhangi bir ihlal bulgularında SonicWall Destek ile hemen iletişime geçmeleri önerilmektedir.
SonicWall yetkilileri, bu konu üzerine yorumda bulunmadı. Ancak, siber güvenlik uzmanları, yöneticilerin bu tür saldırılara karşı hazırlıklı olmalarının ve gerekli güvenlik önlemlerini almanın kritik önem taşıdığını vurgulamaktadır. Bu gibi tehditlerle başa çıkmak için sürekli güncellemeler ve güçlü savunma mekanizmaları şarttır.
