أكد باحثون في الأمن السيبراني أن قراصنة مرتبطين بعصابة Akira للفدية يواصلون استهداف أجهزة SonicWall كنقطة دخول أولية، مستغلين ثغرات قديمة وأخطاء في الإعدادات لشن هجماتهم.
وأشارت شركة Rapid7 إلى أنها رصدت ارتفاعاً ملحوظاً في محاولات الاختراق ضد أجهزة SonicWall خلال الشهر الماضي، لا سيما بعد عودة نشاط Akira منذ أواخر يوليو 2025. وأوضحت SonicWall أن الهجمات استغلت ثغرة حرجة مؤرخة بعام (CVE-2024-40766) تحمل درجة خطورة 9.3، وتتعلق بانتقال كلمات مرور المستخدمين المحليين أثناء الترقية دون إعادة تعيينها.
أخطاء الإعدادات تُحوّل LDAP إلى نقطة ضعف
حذرت SonicWall من خطورة الاعتماد على مجموعات LDAP الافتراضية في إعدادات SSL VPN، معتبرة أنها “نقطة ضعف حرجة” إذا أسيء تكوينها. إذ يتيح هذا الإعداد إضافة أي مستخدم LDAP تمت المصادقة عليه بنجاح إلى مجموعة محلية افتراضية، بصرف النظر عن صلاحياته الحقيقية في Active Directory. وإذا كانت لهذه المجموعة الافتراضية صلاحيات وصول إلى خدمات حساسة مثل VPN أو الواجهات الإدارية أو مناطق الشبكة غير المقيدة، فإن أي حساب AD مخترق يمكن أن يمنح المهاجمين وصولاً فورياً للأنظمة الداخلية.
كما رُصدت محاولات وصول إلى Virtual Office Portal على أجهزة SonicWall، وهو ما قد يتيح – في بعض الإعدادات الافتراضية – للجناة تهيئة المصادقة متعددة العوامل (MFA/TOTP) باستخدام بيانات اعتماد مسروقة مسبقاً.
وقالت Rapid7: “يبدو أن مجموعة Akira تستغل مزيجاً من هذه المخاطر الثلاثة – الثغرة الأمنية، أخطاء LDAP، وإعدادات Virtual Office – لاكتساب وصول غير مصرح به وتنفيذ عمليات الفدية.”
انتشار عالمي وتصاعد في النشاط
أوصت SonicWall بضرورة إعادة تعيين كلمات المرور لجميع الحسابات المحلية، حذف الحسابات غير المستخدمة، فرض سياسات MFA/TOTP صارمة، وحصر الوصول إلى Virtual Office Portal على الشبكة الداخلية فقط. كما أكد المركز الأسترالي للأمن السيبراني (ACSC) أن جهات تهديد مرتبطة بـ Akira استهدفت بالفعل منظمات أسترالية عبر هذه الأجهزة.
منذ ظهوره في مارس 2023، مثّل Akira تهديداً مستمراً في مشهد الفدية، إذ أعلن مسؤوليته عن 967 ضحية حتى الآن، وفقاً لـ Ransomware.Live. وفي يوليو 2025 وحده، سجلت إحصاءات CYFIRMA 40 هجوماً منسوباً إلى Akira، ما جعله ثالث أكثر المجموعات نشاطاً بعد Qilin وINC Ransom.
وفي الربع الثاني من 2025، احتلت عائلات Qilin وAkira وPlay المراتب الثلاث الأولى في الهجمات ضد الكيانات الصناعية، بواقع 101 و79 و75 حادثة على التوالي. وأوضحت شركة Dragos أن Akira يحافظ على نشاط قوي ضد قطاعات التصنيع والنقل عبر هجمات تصيّد متقدمة ونشر برمجيات فدية متعددة المنصات.
أدوات متقدمة لمرحلة ما بعد الاختراق
أظهرت تقارير حديثة أن Akira اعتمد تقنيات تسميم نتائج محركات البحث (SEO Poisoning) لتوزيع نُسخ ملوثة من أدوات إدارة تقنية المعلومات، يتم من خلالها إسقاط محمّل Bumblebee. ويُستخدم هذا الأخير كنقطة انطلاق لتوزيع إطار العمل AdaptixC2، وتنصيب أداة RustDesk للوصول الدائم، إلى جانب تسريب البيانات ونشر التشفير الخبيث.
وبحسب وحدة Unit 42 التابعة لـ Palo Alto Networks، فإن AdaptixC2 إطار مفتوح المصدر يتميز بالمرونة والتجزئة، ما يمكّن المهاجمين من تنفيذ أوامر ونقل ملفات واستخراج البيانات، إضافة إلى تخصيصه وفق متطلباتهم. كما أشارت تقارير أخرى إلى حملات استخدمت مكالمات مزيفة عبر Microsoft Teams متنكرة في صورة مكاتب دعم تقني لخداع المستخدمين وتمكين الوصول عن بُعد عبر Quick Assist، ليتم لاحقاً تحميل شيفرات خبيثة بوساطة PowerShell.
ووفق Rapid7، فإن مجموعة Akira تتبع تسلسلاً منهجياً في هجماتها: الحصول على وصول أولي عبر مكون SSL VPN، تصعيد الامتيازات، سرقة الملفات الحساسة من الخوادم، تعطيل النسخ الاحتياطية، ثم تنفيذ التشفير على مستوى Hypervisor.
