В последние месяцы 2025 года специалисты по кибербезопасности зафиксировали значительный всплеск активности вредоносной программы Akira ransomware, нацеленной на устройства VPN SonicWall. Особенность этой волны атак заключается в том, что злоумышленники, скорее всего, используют ранее неизвестную уязвимость (ноль-дневную – zero-day) в программном обеспечении SonicWall, что ставит под угрозу и полностью обновленные и патченные устройства. Эта ситуация вызывает серьезную озабоченность у IT-служб и специалистов по безопасности, поскольку внезапные и эффективные эксплойты способны привести к масштабным взломам, компрометации данных и серьезным финансовым потерям для компаний по всему миру. SonicWall традиционно считается надежным поставщиком решений для виртуальных частных сетей (VPN) и обеспечения защищенного удаленного доступа. Однако новые события показывают, что даже проверенные временем технологии не застрахованы от находчивости хакеров.
Исследователи из Arctic Wolf Labs заметили стремительное увеличение случаев проникновения через SSL VPN устройства SonicWall, при этом взлом происходил за очень короткий промежуток времени между авторизацией и запуском процесса шифрования данных с целью вымогательства. Согласно анализу экспертов, в подавляющем числе случаев злоумышленники добиваются доступа к корпоративным VPN через учетные записи сотрудников, используя либо эксплойт, либо методы взлома паролей. Код атаки отличается высокой степенью автоматизации и быстрым переходом от проникновения к активации шифровальщика, что значительно осложняет своевременное реагирование средств защиты. Для таких операций часто используется инфраструктура, размещенная на виртуальных серверах (VPS), что дополнительно скрывает источники атак и затрудняет идентификацию злоумышленников. Активность группы Akira заметна уже с 2023 года, и с тех пор она успела заработать порядка 42 миллионов долларов выкупа, обойдя многих конкурентов в сфере киберпреступности.
В 2025 году количество атак с использованием Akira резко возросло, особенно во втором квартале, когда она стала второй по активности группой после Qilin. Примечательно, что значительная часть жертв приходится на европейские страны, в особенности на Италию, где число пострадавших компаний существенно выше среднего показателя по миру. Учитывая потенциальную нулевую уязвимость в SonicWall SSL VPN, компании настоятельно рекомендуется принять срочные меры. Специалисты советуют временно отключить SSL VPN-сервис до официального выхода исправления или тщательно проверить наличие обновлений. Одновременно с этим необходимо внедрять многофакторную аутентификацию (MFA) для всех удаленных подключений, что значительно снижает риск несанкционированного доступа даже при компрометации паролей.
Еще одним важным аспектом является регулярный аудит и удаление неактивных или устаревших учетных записей пользователей в локальных файерволах и сервисах VPN. Соблюдение базовых принципов управления учетными данными, таких как использование сложных паролей и их своевременная смена, становится не менее важным в условиях роста числа атак и появления новых эксплойтов. Отсутствие комментариев или задержка с информационным ответом от SonicWall по поводу обнаруженных инцидентов вызывает дополнительное беспокойство среди IT-сообщества. Тем не менее, поддержка клиентов и своевременный выпуск патчей остаются ключевыми факторами в борьбе с подобными угрозами. Помимо технических защитных мер, организациям рекомендуется уделять внимание обучению своих сотрудников, так как многие атаки начинаются с фишинговых рассылок или социальной инженерии, которая позволяет получить учетные данные VPN.
Повышение осведомленности и внедрение строгих правил работы с доступом и паролями помогут снизить риски компрометации. В целом, ситуация с атакой Akira на SonicWall SSL VPN указывает на необходимость комплексного подхода к кибербезопасности, который объединяет регулярные обновления ПО, многофакторную аутентификацию, аудит и контроль учетных записей, а также подготовку персонала. Только такой системный подход позволит противостоять современным быстро эволюционирующим угрозам и защитить критически важные сервисы и инфраструктуру организаций. В эпоху цифровизации, где удаленный доступ стал неотъемлемой частью бизнес-процессов, обеспечение безопасности VPN и других механизмов связи выходит на первый план. Наряду с этим стоит помнить, что злоумышленники продолжают искать новые пути для проникновения, используя как технические уязвимости, так и человеческий фактор.
Поэтому постоянный мониторинг, быстрая реакция на инциденты и внедрение передовых стандартов безопасности должны стать неотъемлемой частью операционной деятельности каждой компании, чтобы не стать очередной жертвой вымогателей Akira или других киберугроз.
