Akira勒索软件：从SonicWall VPN登录到加密在四小时内完成

北极狼研究人员警告，Akira勒索软件附属组织入侵企业并部署勒索软件仅需四小时或更短。攻击者利用先前入侵中窃取的SonicWall SSL VPN凭证，并能绕过多因素认证：

• 开始扫描网络以发现网络服务和未受保护的账户
• 使用Impacket建立和交互SMB会话
• 通过RDP在受感染环境中横向移动
• 定位域控制器并访问虚拟机存储和备份
• 创建额外账户以安装RMM工具并进行数据窃取
• 建立C2通信方法
• 收集并窃取数据
• 禁用合法RMM和EDR工具，删除系统卷影副本，清除事件日志
• 安装WinRAR压缩数据，通过rclone或FileZilla传输到其控制的VPS
• 部署Akira勒索软件

初始访问

北极狼自2025年7月持续警告Akira勒索软件攻击增长。最初攻击者可能利用SonicWall VPN设备的零日漏洞，后确认滥用CVE-2024-40766（SonicWall SonicOS管理访问和SSL VPN的访问控制缺陷）。

SonicWall于2024年8月发布修复补丁，但部分客户从Gen 6升级到Gen 7防火墙时未重置SSL VPN本地用户账户密码。推测攻击者在早期入侵中已获取SSL VPN和服务账户凭证，现重用这些凭证入侵已打补丁但未修改密码的企业。

Rapid7研究人员补充攻击者还利用：

• SonicWall设备SSLVPN默认用户组配置错误，成功认证的LDAP用户自动加入可能访问敏感服务的预定义本地组
• SonicOS管理界面中外部可访问的Virtual Office Portal，允许在受感染账户上配置OTP多因素认证

北极狼指出：“调查发现启用OTP MFA的账户出现重复恶意SSL VPN登录，且入侵前五天未发现未授权OTP解绑事件。证据表明攻击使用有效凭证而非修改OTP配置，但通过MFA认证的具体方法仍不明确。”目前无证据表明这些入侵与SonicWall防火墙云备份服务攻击相关。

企业防护建议

受害企业跨多个行业和规模，表明攻击属于机会主义。从初始访问到勒索软件部署的极短时间窗口使早期检测和响应至关重要。建议：

• 监控或阻止VPS托管提供商的登录
• 监控异常SMB活动（Impacket使用）和LDAP发现活动
• 监控服务器非常规位置执行的网络扫描和归档工具
• 使用企业应用控制阻止未授权远程工具，拒绝非可信路径执行

北极狼强调：“若SonicWall设备曾运行存在CVE-2024-40766漏洞的固件版本，强烈建议重置防火墙存储的所有凭证（包括SSL VPN密码和OTP MFA密钥），涵盖本地防火墙账户和LDAP同步的Active Directory账户——特别是具有SSL VPN访问权限的账户。威胁分子在设备完全修补后仍滥用这些凭证，表明凭证可能早期已被窃。重置LDAP同步账户尤为关键，因观察到这些本不应用于VPN访问的账户出现登录行为。”