Наприкінці липня 2025 року Арктичний Вовк спостерігав збільшення активності викупу, орієнтовану на пристрої брандмауера Sonicwall для початкового доступу. У розглянутому вторгненні протягом короткого періоду спостерігалося кілька вторгнень попереднього програмного забезпечення, кожен з яких включав доступ VPN через VPNS Sonicwall SSL.
Незважаючи на те, що довірений доступ через грубу силу, словникові атаки та довічні набивання ще не були остаточно виключені у всіх випадках, наявні докази свідчать про існування вразливості нульового дня. У деяких випадках після обертання облікових даних вплинули повністю виправлені пристрої SonicWall. Незважаючи на ввімкнення MFA TOTP, рахунки все ще були порушені в деяких випадках.
Наразі Arctic Wolf Labs проводить дослідження цієї кампанії та поділиться додатковими деталями, коли вони стають доступними.
Akira Ransomware
Найновіший приріст в активності викупів, що включають VPNS Sonicwall SSL, розпочався ще в 15 липня 2025 року, хоча подібні зловмисні логіни VPN певною мірою спостерігалися з принаймні жовтня 2024 р. Подібно до діяльності з викупів, описаних у попередніх дослідженнях, короткий інтервал спостерігався між початковим SSL VPN Access Access та Ransomware Averption.
На відміну від законних логінів VPN, які, як правило, походять з мереж, керованими широкосмуговими постачальниками Інтернет -послуг, групи Ransomware часто використовують віртуальний хостинг приватного сервера для аутентифікації VPN у компрометованих середовищах.
Arctic Wolf – замовник власних продуктів/послуг і буде дотримуватися тих самих рекомендацій, викладених для наших клієнтів у цьому бюлетені безпеки.
Рекомендації
Вимкніть Sonicwall SSL VPN
Враховуючи велику ймовірність вразливості нульового дня, організації повинні розглянути можливість відключення послуги Sonicwall SSL VPN, поки патч не буде доступний та розгорнутий.
Налаштуйте інтеграцію SonicWall з Arctic Wolf MDR
Щоб забезпечити ранню видимість та оповіщення про загрози, описані в цьому бюлетені, клієнти Arctic Wolf можуть забезпечити моніторинг журналу SonicWall через службу виявлення та реагування Arctic Wolf®. Щоб налаштувати цю інтеграцію, див. Наступну сторінку документації.
Встановіть арктичний вовчий агент та Sysmon
Арктичний вовчий агент та SYSMON забезпечують вовка Arctic видимість у подіях, необхідних для виявлення інструментів, прийомів та тактики, що беруть участь у цій кампанії.
Інструкції про те, як встановити вовчий агент Arctic, див. Нижче встановіть путівники:
Якщо у вас є підтримуване рішення EDR, розгорнуте у вашому середовищі, налаштуйте його для моніторингу з Arctic Wolf.
Примітка: Arctic Wolf рекомендує дотримуватися найкращих практик управління змінами для розгортання агента та SYSMON, включаючи тестування змін у середовищі тестування перед розгортанням у виробництві.
Здійснити найкращі практики, рекомендовані Sonicwall
Sonicwall рекомендує наступні найкращі практики безпеки для загартовування позиції безпеки брандмауера:
- Увімкнути служби безпеки: Забезпечити такі послуги, як Захист ботнету є активними. Ці послуги допомагають виявити суб'єктів загрози, які, як відомо, націлюють кінцеві точки SSLVPN.
- Забезпечити багатофакторну автентифікацію (MFA): МЗС слід ввімкнути для всіх віддалених доступу, щоб зменшити ризик зловживання обліковими записами.
- Видалити невикористані рахунки: Видалити будь -які неактивні або невикористані локальні облікові записи користувачів брандмауера, особливо тих, хто має доступ до SSLVPN.
- Практикуйте хорошу гігієну пароля: Заохочуйте періодичні оновлення пароля у всіх облікових записах користувачів.
Зверніть увагу, що, хоча ці кроки є загальними найкращими практиками, вони не обов'язково гарантовано пом'якшують загрозу, описану в цьому бюлетені.
Блокувати автентифікацію VPN від ASN, пов'язаних з хостингом
Щоб зменшити вплив зловмисної діяльності VPN, пов’язаної з цією кампанією, перегляньте перелічені ASN, пов'язані з хостингом, і подумайте про блокування їх відповідних діапазонів CIDR для аутентифікації VPN.
Примітка: Описані нижче мережі не є зловмисними, але при використанні для аутентифікації проти VPN, відповідність мережевої активності може вважатися підозрілими за певних обставин. Блокування всього трафіку з цих ASN без обмеження аутентифікації VPN, ймовірно, спричинить оперативне порушення. Крім того, зауважте, що ці ASN можуть включати IP -адреси, пов'язані з постачальниками VPN конфіденційності.
Примітка: Деякі додаткові МОК, передбачені в нашому дослідженні в жовтні 2024 року, все ще можуть бути дійсними, але ще не спостерігалися в останньому кластері шкідливої діяльності.