Хакерский симбиоз: Akira и Fog объединяются для штурма сетей

Хакеры используют уязвимость в SonicWall VPN для атак с помощью вирусов-шифровальщиков Fog и Akira. Эксперты считают, что они эксплуатируют уязвимость CVE-2024-40766 — критическую ошибку в системе контроля доступа SSL VPN.

Компания SonicWall выпустила обновление для устранения проблемы в конце августа 2024 года, однако уже через неделю заявила, что уязвимость активно используется в атаках. Исследователи Arctic Wolf обнаружили, что группы, связанные с Akira, применяют эту уязвимость для проникновения в корпоративные сети.

В новом отчёте Arctic Wolf сообщается о не менее 30 атаках, начавшихся с удалённого доступа через VPN-аккаунты SonicWall. Примерно 75% этих инцидентов связаны с Akira, а остальные — с операцией Fog. Операторы обеих групп, как выяснилось, используют общую инфраструктуру, что указывает на неофициальное сотрудничество, ранее зафиксированное экспертами Sophos.

Хотя не все проникновения были точно связаны с указанной уязвимостью, все взломанные системы работали на устаревших версиях SonicOS без обновлений. Время от проникновения до шифрования данных в некоторых случаях занимало всего 1,5–2 часа, а в среднем — около десяти часов.

Часто злоумышленники использовали VPN или VPS для маскировки своих IP-адресов. Эксперты отмечают, что многие компании не включили многофакторную аутентификацию и использовали стандартный порт 4433, что значительно облегчило хакерам задачу.

Среди захваченных данных были документы и программное обеспечение, причём атакующие намеренно игнорировали файлы, созданные более шести месяцев назад, а для особо важных данных — более 30 месяцев.

Операция Fog, запущенная в мае 2024 года, активно растёт, используя скомпрометированные учётные данные от корпоративных VPN для несанкционированного доступа. Akira, более опытная группа, столкнулась с временными проблемами доступа к своим ресурсам в сети Tor, однако она постепенно налаживает свои операции, и наверняка снова ударит позже, но уже с новой силой.

Недостаток своевременных обновлений и пренебрежение многофакторной аутентификацией открывают хакерам двери для целенаправленных атак. Сотрудничество групп вроде Akira и Fog демонстрирует, что современные угрозы становятся всё более организованными и быстрыми, а каждая уязвимость — это возможность для злоумышленников нанести молниеносный удар и обойти даже самые сложные системы защиты.