حذّر باحثون في الأمن السيبراني من حملة عدوانية يقودها برنامج الفدية Akira تستهدف بوابات SonicWall VPN، حيث تمكّن المهاجمون من نشر أداة التشفير بسرعة هائلة منذ بدء الموجة في 21 يوليو 2025. ووفق تقرير شركة Arctic Wolf، فإن عملية التشفير وقعت في معظم الاختراقات خلال أقل من أربع ساعات من الوصول الأولي، وفي بعض الحالات لم يتجاوز زمن التمهيد 55 دقيقة.
أنشطة ما بعد الاستغلال تكشف التكتيكات
أظهرت التحقيقات أن المهاجمين اعتمدوا على أنشطة مسح داخلي للشبكات، وتنفيذ أوامر مرتبطة بأداة Impacket SMB لأغراض الاكتشاف، إلى جانب عمليات مسح Active Directory، وتسجيل دخول عبر عملاء VPN قادمين من مزوّدي خوادم افتراضية (VPS). كما استُهدف جدار الحماية وحسابات المزامنة مع LDAP، حيث استغل القراصنة الحساب المخصّص لمزامنة Active Directory لتسجيل الدخول عبر SSL VPN، رغم عدم تهيئته مسبقاً لذلك.
استغلال الحسابات المحمية بـOTP
أحد المؤشرات الخطيرة التي رصدت في أكثر من 50% من الهجمات كان محاولات تسجيل الدخول إلى حسابات مفعّل بها خيار كلمة المرور لمرة واحدة (OTP). وبعد دقائق فقط من تسجيل الدخول الخبيث، نُفّذت عمليات مسح للمنافذ، وأنشطة SMB، تلاها النشر السريع لبرنامج الفدية Akira عبر الشبكة.
ضحايا من قطاعات متعددة
تشير النتائج إلى أن الضحايا توزّعوا على قطاعات وأحجام مؤسسية مختلفة، ما يعكس طبيعة الاستغلال الجماعي الانتهازي بدلاً من استهداف محدد. هذا السلوك يزيد من خطورة التهديد، إذ يمكن أن تضرب الحملة أي منظمة تعتمد على بنية VPN غير محصّنة بشكل كافٍ.
