Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (débutée fin juillet 2025) où le ransomware Akira cible des environnements équipés de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurés en heures.

• Vecteur initial et vulnérabilités: Les intrusions débutent par des connexions SSL VPN provenant de VPS/ASNs d’hébergement, souvent suivies en minutes par du scan réseau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisés (y compris des comptes AD de synchro non censés se connecter en VPN) sont utilisés. Les acteurs valident des défis OTP/MFA sur SonicOS, bien que la méthode exacte de contournement reste non élucidée. SonicWall lie la campagne à CVE‑2024‑40766 (improper access control) et évoque la possibilité d’identifiants dérobés sur des versions vulnérables puis réutilisés après mise à jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien établi avec cette campagne.

• Découverte, mouvement latéral et élévation: Dans les 5 minutes, les attaquants lancent du scan interne (ports 135/137/445/1433), des séquences SMBv2 Impacket, de la découverte AD (nltest, dsquery, PowerShell Get-ADUser/Get-ADComputer), et des outils comme SharpShares, NetExec, BloodHound, ldapdomaindump. Le RDP est privilégié pour le mouvement latéral; des artefacts évoquent WMIExec (quser avec redirection). Des accès aux sauvegardes/stockages VM sont recherchés, avec extraction des identifiants Veeam via sqlcmd et un script PowerShell inédit (prise en charge MSSQL/PostgreSQL, DPAPI, salt).

• Persistance, C2 et évasion: Création de comptes locaux/domaines (ex.: sqlbackup, veean; ajout à « ESX Admins »), déploiement d’outils RMM (AnyDesk, TeamViewer, parfois RustDesk), tunnels SSH inversés et Cloudflared (service persistant, ouverture du port 22). Évasion/défense: désactivation d’outils légitimes, suppression VSS, réglages UAC (LocalAccountTokenFilterPolicy), tentative de neutralisation EDR/Defender (Set-MpPreference), et BYOVD via un consent.exe signé Microsoft chargeant un DLL malveillant qui installe des pilotes vulnérables (rwdrv.sys, hlpdrv.sys, parfois churchill_driver.sys) pour manipuler les ACL au niveau noyau et bloquer des processus de sécurité; géofencing par locales EEA/Asie centrale.

• Exfiltration et chiffrement: Les données sont préparées avec WinRAR (m0, v3g, tn365d, ciblage de types de fichiers), puis exfiltrées via rclone ou FileZilla (fzsftp.exe) vers des VPS. Le binaire d’Akira (akira.exe, locker.exe, w.exe) est déployé (ex.: C:\lock, C:\ProgramData) avec paramètres par lecteur et liste de partages, et le chiffrement survient quasi systématiquement en < 4 heures (parfois ~55 minutes).

• Portée et produits concernés: Les victimes couvrent plusieurs secteurs/tailles, suggérant une exploitation opportuniste de masse. Des SonicWall NSA et TZ sur SonicOS 6 et 7 (y compris 7.3.0) sont observés; des chercheurs (Field Effect) signalent des impacts jusqu’à 8.0.2. L’SSO/SAML n’a pas été observé comme vecteur de connexion malveillante. L’article fournit IOCs et TTPs détaillés ainsi que des recommandations de détection précoce.

IOCs (extraits):

  • IPs de clients VPN (VPS/ASNs): 38.114.123[.]167, 38.114.123[.]229, 193.239.236[.]149, 45.55.76[.]210, 107.155.93[.]154, 185.33.86[.]2, 107.175.102[.]58, 23.94.54[.]125
  • C2: 170.130.165[.]42 (Eonix)
  • Exfiltration: 162.210.196[.]101 (Leaseweb USA), 206.168.190[.]143 (1gservers)
  • Postes/hostnames observés: kali, WIN, DESKTOP-HPLM2TD, WINUTIL, DESKTOP-A2S6P81, WIN-V1L65ED9I55, WIN-5VVC95LFP2G, DESKTOP-EDE0RR5, SERVER
  • BYOVD fichiers/hashes: rwdrv.sys (SHA256: 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0), hlpdrv.sys (SHA256: bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56)

TTPs (MITRE ATT&CK, extraits):

  • T1133 (External Remote Services), T1078 (Valid Accounts)
  • T1555 (Credentials from Password Stores – Veeam), T1112 (Modify Registry), T1548.002 (Bypass UAC)
  • T1046 (Network Service Discovery), T1135 (Network Share Discovery), T1087.001/002 (Account Discovery)
  • T1021.001/002 (Remote Services: RDP, SMB), T1570 (Lateral Tool Transfer), T1560 (Archive Collected Data)
  • T1219 (Remote Access Tools – AnyDesk/RustDesk), T1572 (Protocol Tunneling – SSH/Cloudflared)
  • T1562 (Impair Defenses), T1490 (Inhibit System Recovery), T1486 (Data Encrypted for Impact)

Conclusion: Analyse de menace détaillée visant à documenter une campagne Akira en cours, ses vecteurs initiaux, son outillage, ses TTPs/IOCs, et à permettre une détection/interruption précoces. 🚨🕒

🧠 TTPs et IOCs détectés

TTP

[‘T1133 (External Remote Services)’, ‘T1078 (Valid Accounts)’, ‘T1555 (Credentials from Password Stores – Veeam)’, ‘T1112 (Modify Registry)’, ‘T1548.002 (Bypass UAC)’, ‘T1046 (Network Service Discovery)’, ‘T1135 (Network Share Discovery)’, ‘T1087.001/002 (Account Discovery)’, ‘T1021.001/002 (Remote Services: RDP, SMB)’, ‘T1570 (Lateral Tool Transfer)’, ‘T1560 (Archive Collected Data)’, ‘T1219 (Remote Access Tools – AnyDesk/RustDesk)’, ‘T1572 (Protocol Tunneling – SSH/Cloudflared)’, ‘T1562 (Impair Defenses)’, ‘T1490 (Inhibit System Recovery)’, ‘T1486 (Data Encrypted for Impact)’]

IOC

{‘hashes’: [‘16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0’, ‘bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56’], ‘ips’: [‘38.114.123.167’, ‘38.114.123.229’, ‘193.239.236.149’, ‘45.55.76.210’, ‘107.155.93.154’, ‘185.33.86.2’, ‘107.175.102.58’, ‘23.94.54.125’, ‘170.130.165.42’, ‘162.210.196.101’, ‘206.168.190.143’], ‘domains’: []}

🔗 Source originale : https://arcticwolf.com/resources/blog/smash-and-grab-aggressive-akira-campaign-targets-sonicwall-vpns/