SonicWall под атакой: уязвимость ведёт к вирусу Akira
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи в области кибербезопасности бьют тревогу: компаниям, использующим оборудование SonicWall, грозит серьёзная опасность из-за уязвимости в системе SSLVPN — это специальный сервис для защищённого доступа к корпоративным сетям через интернет. Уязвимость была обнаружена и закрыта более года назад, однако многие до сих пор не установили необходимые обновления. Теперь этим активно пользуется группа вымогателей Akira, разбрасывая по неосторожным компаниям свой вирус-вымогатель через дыру в защите.
Уязвимость характерна для моделей Gen5, Gen6 и Gen7 — если компания не заботится о своевременном обновлении своих файрволов (устройств защиты сети), она рискует лишиться данных и крупных денег из-за вируса Akira. С августа 2025 года атаки заметно участились — достаточно не следить за обновлениями безопасности, и можно оказаться жертвой вымогателей.
Но любители быстрой наживы не ограничиваются только устаревшими защитными устройствами. Специалисты компании Rapid7 выяснили, что Akira подбирается к системам сразу с нескольких сторон. Оказывается, SonicWall до сих пор использует настройки по умолчанию для некоторых групп пользователей в LDAP — это механизм аутентификации. При определённых сценариях это даёт злоумышленникам возможность проникнуть во внутреннюю сеть без соответствующих разрешений.
Кроме того, взломщики атакуют сервис Virtual Office Portal, встроенный в устройства SonicWall. Обычно через него пользователи настраивают двухфакторную аутентификацию, но из-за ошибок в конфигурации этот портал оказывается доступен не только по корпоративной сети, но и из внешнего мира. Это даёт злоумышленникам шанс добавить вторую ступень доступа — даже к уже скомпрометированным учетным записям.
Эксперты считают: вымогатели из Akira комбинируют все эти уязвимости — и через настройки пользователей, и через устаревшие файрволы, и через публичные порталы — чтобы оказаться внутри.
Чтобы не сделать жизнь вымогателей проще, бизнесу рекомендуют срочно сменить пароли всех пользователей SonicWall, проверить и настроить двухфакторную аутентификацию, убедиться, что Virtual Office Portal закрыт для внешнего доступа и применить все обновления. Также стоит внимательно отслеживать все попытки доступа к этому сервису.
Отметим, что группа Akira не новичок в криминале и как минимум два года активно атакует устройства, стоящие на границе корпоративных сетей. Конечная цель — украсть или зашифровать данные, чтобы затем требовать выкуп.
Нельзя просто так взять и не выпустить новость про очередную дыру SonicWall. Всё как в плохом анекдоте: уязвимость год назад залатали, компании — патч забыли, Akira рассылает всем свои «письма счастья». Проверенный трюк: сначала рассказываем про устаревшие файрволы, чтобы читатель почувствовал себя «а вдруг я тоже?», потом про LDAP по умолчанию, на случай если у кого не хватило фантазии всё сломать. Для усиления накала — публичный портал: кто бы сомневался, что он открыт всему интернету.
Дальше размахиваем красной тряпкой: только срочные меры спасут ваш бизнес, срочно меняйте пароли, срочно настраивайте двухфакторку, иначе к вам со своей симфонией вломится Akira. Финал — стандартный набор страхов: Akira уже два года охотится на лентяев, которые не следят за безопасностью.
Интересно, сколько компаний после этой статьи действительно что-то обновят? Копирайтеры стараются, а админы по-прежнему ждут, когда гроза пройдёт мимо. Почти что рекламный листок угроз, если бы не горькая ирония — всем всё известно, но ничего не меняется. А потом говорят: «Как это с нами могло случиться?».