11,6 тыс подписчиков

Akira активно атакует устройства SonicWall — CVE SNWLID-2024-0015

11 сентября 202511 сен 2025

4 мин

Группа Akira продолжает активные кампании против периферийных устройств, и в центре недавней волны атак оказались уязвимости в устройствах SonicWall. Эксплойты, использующие уязвимость, зарегистрированную как CVE (SNWLID-2024-0015), позволяют злоумышленникам получать доступ к сети и внедрять ransomware по модели RaaS. Отсрочка с корректным устранением уязвимости с августа 2024 года дала Akira возможность эффективно эксплуатировать эти устройства, приводя к нарушениям бизнес-операций и утечкам данных. С начала 2023 года Akira ведёт целенаправленные кампании по компрометации крайних точек сетевой инфраструктуры. В последние месяцы наблюдается заметный рост инцидентов, связанных с эксплуатацией SonicWall — ситуация обострилась после появления подробной документации по уязвимости SNWLID-2024-0015 в августе 2024 года. Эксплуатация этой уязвимости сопровождалась следующими факторами: Akira демонстрирует сочетание разрушительных и кражевых операций: злоумышленники не только шифруют корпоратив

Оглавление

Что произошло
Тактика и цели группы Akira
Реакция Rapid7 и доступные ресурсы

Группа Akira продолжает активные кампании против периферийных устройств, и в центре недавней волны атак оказались уязвимости в устройствах SonicWall. Эксплойты, использующие уязвимость, зарегистрированную как CVE (SNWLID-2024-0015), позволяют злоумышленникам получать доступ к сети и внедрять ransomware по модели RaaS. Отсрочка с корректным устранением уязвимости с августа 2024 года дала Akira возможность эффективно эксплуатировать эти устройства, приводя к нарушениям бизнес-операций и утечкам данных.

Что произошло

С начала 2023 года Akira ведёт целенаправленные кампании по компрометации крайних точек сетевой инфраструктуры. В последние месяцы наблюдается заметный рост инцидентов, связанных с эксплуатацией SonicWall — ситуация обострилась после появления подробной документации по уязвимости SNWLID-2024-0015 в августе 2024 года.

Эксплуатация этой уязвимости сопровождалась следующими факторами:

недостаточная скорость и полнота исправлений со стороны администраторов и владельцев устройств;
активное использование Akira автоматизированных инструментов для сканирования и взлома периферийных девайсов;
модель RaaS, обеспечивающая масштабируемость атак и доступ сторонних операторов-вымогателей.

Тактика и цели группы Akira

Akira демонстрирует сочетание разрушительных и кражевых операций: злоумышленники не только шифруют корпоративные данные, но и извлекают конфиденциальную информацию для двойного вымогательства. Ключевые особенности их TTP:

целевое сканирование и приоритизация уязвимых периферийных устройств;
использование ранее известных публичных уязвимостей (SNWLID-2024-0015) для получения первоначального доступа;
быстрая эскалация привилегий и развёртывание ransomware для максимизации ущерба;
экспорт и эксфильтрация данных до или после шифрования для усиления давления на жертву.

Реакция Rapid7 и доступные ресурсы

Компания Rapid7 разослала срочные уведомления клиентам с призывом к «немедленному исправлению» уязвимых устройств. Инцидент-реSPONSE команда Rapid7 зафиксировала значительное увеличение вторжений через SonicWall и подтвердила, что своевременные меры снижают риск успешной эксплуатации.

Rapid7 предоставляет следующие материалы для борьбы с угрозой:

индикаторы компрометации (IOCs);
правила Yara для детектирования вредоносных артефактов;
описи методов, тактик и процедур (TTP) атакующих.

Практические рекомендации для организаций

Учитывая текущую активность Akira, организациям следует принять упреждающие меры немедленно. Основные шаги:

Применить официальные патчи и обновления для всех устройств SonicWall, включая прошивки и защитные компоненты.
Ограничить удалённый доступ: временно отключить или ограничить сервисы удалённого управления (VPN/SSL/TLS) до подтверждения безопасности конфигурации.
Сегментировать сеть и минимизировать доступ периферийных устройств к критическим ресурсам.
Включить многофакторную аутентификацию (MFA) для административного доступа.
Анализировать логи и использовать IOCs/Yara из Rapid7 для обнаружения признаков компрометации.
Подготовить план реагирования на инциденты, включая процедуры изоляции, восстановления и уведомления заинтересованных сторон.
Провести аудит конфигураций и удалить устаревшие или ненужные сервисы и учётные записи.

Шаги для администраторов прямо сейчас

Проверить наличие и установить все рекомендованные обновления для устройств SonicWall.
Сравнить свои логи с предоставленными Rapid7 IOCs; при совпадении — инициировать расследование.
Ограничить доступ к management-интерфейсам и внедрить сегментацию.
Реализовать временные блокировки или правила на периметральных устройствах для подозрительной активности.
Сообщить о подозрительных инцидентах в команду реагирования и, при необходимости, в сторонние CERT/CSIRT.

«Сбои в устранении неполадок позволили Akira group эффективно использовать эти устройства SonicWall», — отмечают специалисты Rapid7, подчеркивая необходимость срочных действий.

Вывод

Атаки Akira на устройства SonicWall демонстрируют, как быстро злоумышленники превращают известные уязвимости в масштабную угрозу. В условиях активной эксплуатации SNWLID-2024-0015 ключевыми остаются своевременное патчирование, мониторинг по IOCs и готовность к инцидентам. Отсутствие проактивных мер повышает риск серьезных последствий — от потери доступности сервисов до утечки конфиденциальных данных и финансовых убытков.

Организациям рекомендуется следить за обновлениями от производителей и провайдеров безопасности, использовать предоставленные Rapid7 ресурсы и как можно скорее реализовать перечисленные меры защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Akira активно атакует устройства SonicWall — CVE SNWLID-2024-0015".

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность

25,6 тыс интересуются