أصبحت أجهزة SonicWall SSL VPN هدفًا لهجمات برامج الفدية Akira كجزء من موجة جديدة من النشاط لوحظت في أواخر يوليو 2025.
ذكر جوليان توين، الباحث في Arctic Wolf Labs، في تقرير أن “التوغلات التي تمت مراجعتها، لوحظت فيها عمليات توغل متعددة سابقة لبرامج الفدية في فترة زمنية قصيرة، كل منها يتضمن الوصول إلى VPN عبر SonicWall SSL VPNs”.
اقترحت شركة الأمن السيبراني أن الهجمات قد تستغل ثغرة أمنية لم يتم تحديدها بعد في الأجهزة، مما يعني ثغرة يوم صفر، نظرًا لأن بعض الحوادث أثرت على أجهزة SonicWall التي تم تحديثها بالكامل. ومع ذلك، لم يتم استبعاد إمكانية الهجمات القائمة على بيانات الاعتماد للوصول الأولي.
تم تسجيل الزيادة في الهجمات التي تتضمن SonicWall SSL VPNs لأول مرة في 15 يوليو 2025، على الرغم من أن Arctic Wolf قالت إنها لاحظت عمليات تسجيل دخول ضارة مماثلة لـ VPN منذ أكتوبر 2024، مما يشير إلى جهود مستمرة لاستهداف الأجهزة.
وقالت: “لوحظ فاصل زمني قصير بين الوصول الأولي إلى حساب SSL VPN وتشفير برامج الفدية”. “على عكس عمليات تسجيل الدخول الشرعية لـ VPN التي تنشأ عادةً من الشبكات التي تديرها شركات تقديم خدمة الإنترنت ذات النطاق العريض، غالبًا ما تستخدم مجموعات برامج الفدية استضافة خادم افتراضي خاص (VPS) لمصادقة VPN في البيئات المخترقة.”
لم تسفر الاستفسارات المرسلة إلى SonicWall للحصول على مزيد من التفاصيل حول النشاط عن رد حتى نشر هذا المقال. كإجراءات تخفيف، يُنصح المؤسسات بالنظر في تعطيل خدمة SonicWall SSL VPN حتى يتم توفير تصحيح ونشره، نظرًا لاحتمال وجود ثغرة يوم صفر.
تشمل أفضل الممارسات الأخرى فرض المصادقة متعددة العوامل (MFA) للوصول عن بعد، وحذف حسابات مستخدمي جدار الحماية المحلية غير النشطة أو غير المستخدمة، واتباع نظافة كلمات المرور.
اعتبارًا من أوائل عام 2024، يُقدر أن ممثلي برامج الفدية Akira قد ابتزوا ما يقرب من 42 مليون دولار من العائدات غير المشروعة بعد استهداف أكثر من 250 ضحية. ظهرت لأول مرة في مارس 2023.
تظهر الإحصائيات التي شاركتها Check Point أن Akira كانت ثاني أكثر المجموعات نشاطًا في الربع الثاني من عام 2025 بعد Qilin، حيث ادعت 143 ضحية خلال تلك الفترة الزمنية.
قالت شركة الأمن السيبراني: “تحافظ برامج الفدية Akira على تركيز خاص على إيطاليا، حيث يمثل 10% من ضحاياها شركات إيطالية مقارنة بـ 3% في النظام البيئي العام”.
برامج الفدية Akira تستغل ثغرات SonicWall VPNs في هجوم محتمل ليوم صفر على الأجهزة المحدثة بالكامل
9
