Các nhóm bảo mật đang đối mặt với một chiến dịch Akira ransomware đang diễn biến nhanh chóng, lợi dụng các thông tin xác thực SonicWall SSL VPN đã bị xâm nhập để triển khai mã độc tống tiền chỉ trong vòng chưa đầy bốn giờ. Thời gian lưu trú này thuộc vào loại ngắn nhất từng được ghi nhận đối với loại mối đe dọa này.

Chỉ vài phút sau khi xác thực thành công – thường bắt nguồn từ các ASN liên quan đến dịch vụ hosting – các tác nhân đe dọa đã khởi động quá trình quét cổng, tận dụng công cụ Impacket SMB để khám phá mạng, và triển khai Akira ransomware trên nhiều môi trường khác nhau.

Các mục tiêu bao gồm từ doanh nghiệp nhỏ đến các tổ chức lớn trong nhiều lĩnh vực, cho thấy một chiến dịch khai thác cơ hội, quy mô rộng. Cơ sở hạ tầng độc hại mới liên quan đến chiến dịch này vẫn tiếp tục được quan sát gần đây nhất vào ngày 20 tháng 9 năm 2025.

Lỗ hổng CVE và Cơ chế khai thác ban đầu

SonicWall cho rằng các lần đăng nhập trái phép này là do khai thác lỗ hổng CVE-2024-40766, một lỗ hổng kiểm soát truy cập không đúng cách đã được tiết lộ vào tháng 9 năm 2024. Lỗ hổng này ảnh hưởng đến các dịch vụ SonicWall SSL VPN.

Vào cuối tháng 7 năm 2025, Arctic Wolf Labs đã phát hiện một sự gia tăng đột biến các nỗ lực đăng nhập đáng ngờ nhắm vào các dịch vụ SonicWall SSL VPN. Thông tin chi tiết có thể được tìm thấy tại: Arctic Wolf Labs Blog.

Thông tin xác thực bị thu thập từ các thiết bị dễ bị tổn thương dường như vẫn còn hiệu lực ngay cả trên các tường lửa đã được vá lỗi. Điều này cho phép kẻ tấn công bỏ qua xác thực đa yếu tố (MFA) dùng mật khẩu một lần (OTP) và xác thực vào các tài khoản được bảo vệ bởi MFA.

Thông báo của SonicWall vào tháng 8 năm 2025 đã xác nhận rằng các “MFA seeds” có thể bị tấn công brute-force hoặc thu thập ngoại tuyến. Việc này cho phép các lần đăng nhập trông hợp lệ mà không có bằng chứng về việc hủy liên kết MFA hoặc giả mạo cấu hình.

Truy cập ban đầu luôn liên quan đến các lần đăng nhập client SSL VPN từ cơ sở hạ tầng máy chủ riêng ảo (VPS), thay vì từ các nguồn băng thông rộng hoặc SD-WAN thông thường.

Trong một số sự cố, các tài khoản đồng bộ hóa LDAP – vốn không được thiết kế cho truy cập VPN từ xa – đã được quan sát là xác thực thành công. Hầu như ngay lập tức, các cuộc xâm nhập đã chuyển sang giai đoạn trinh sát mạng nội bộ.

Để tìm hiểu thêm về CVE-2024-40766, bạn có thể truy cập: NVD – CVE-2024-40766.

Hành vi xâm nhập và Điều tra mạng nội bộ

Các công cụ hợp pháp như Advanced IP Scanner và SoftPerfect Network Scanner đã được thực thi từ các thư mục tạm thời. Tiếp theo là các yêu cầu thiết lập phiên SMBv2 kiểu Impacket nhắm vào các cổng RPC, NetBIOS, SMB và SQL.

Kẻ tấn công sử dụng các công cụ này để thu thập thông tin về cấu trúc mạng và các dịch vụ đang hoạt động. Điều này giúp chúng xác định các mục tiêu tiềm năng cho giai đoạn tấn công tiếp theo.

Liệt kê Active Directory sau đó khai thác các tiện ích tích hợp (như nltest, dsquery) và các cmdlet PowerShell (như Get-ADUser, Get-ADComputer) để thu thập thông tin người dùng, máy tính và các chia sẻ.

Các lệnh thường được sử dụng bao gồm:

nltest /dclist:<domain>
dsquery computer -limit 0
Get-ADUser -Filter * -Properties *
Get-ADComputer -Filter * -Properties *

Chiếm quyền và Thu thập thông tin xác thực

Trong nhiều trường hợp, kẻ tấn công đã sử dụng SQLCMD và các script PowerShell tùy chỉnh để trích xuất thông tin xác thực sao lưu từ các cơ sở dữ liệu Veeam Backup & Replication.

Chúng nhắm mục tiêu vào cả các phiên bản MSSQL và PostgreSQL. Việc này cho phép thu thập thông tin đăng nhập có giá trị cao từ các hệ thống quản lý sao lưu.

Các thông tin xác thực được trích xuất đã tạo điều kiện cho việc tạo tài khoản cục bộ và tài khoản miền, cài đặt các công cụ truy cập từ xa (như AnyDesk, TeamViewer, RustDesk), và thiết lập các SSH reverse tunnel hoặc dịch vụ Cloudflare Tunnel để truy cập bền vững.

Kỹ thuật né tránh phát hiện và Nâng cao đặc quyền

Để né tránh phát hiện, các tác nhân đe dọa đã vô hiệu hóa phần mềm RMM hợp pháp, xóa các bản sao lưu Volume Shadow Copy, và sử dụng các chỉnh sửa registry để vô hiệu hóa User Account Control (UAC).

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

Kỹ thuật Bring-Your-Own-Vulnerable-Driver (BYOVD) đã được áp dụng, đóng gói lại tệp consent.exe của Microsoft để tải các DLL độc hại. Các DLL này thao túng các Access Control List (ACL) của kernel, vô hiệu hóa hiệu quả các quy trình bảo mật như MsMpEng.exe mà không gây ra cảnh báo.

Logic giới hạn địa lý (geofencing) bên trong các DLL độc hại này đã loại trừ các địa điểm Đông Âu, cho thấy ý định nhắm mục tiêu cụ thể. Điều này giúp tránh việc vô tình tấn công các hệ thống ở khu vực được coi là “an toàn” cho kẻ tấn công.

Sân khấu dữ liệu và Đánh cắp

Giai đoạn chuẩn bị dữ liệu đã tận dụng WinRAR để đóng gói các tệp gần đây thành các khối 3 GB. Sau đó, dữ liệu được đánh cắp thông qua rclone hoặc FileZilla SFTP đến các máy chủ VPS do kẻ tấn công kiểm soát.

Việc sử dụng các công cụ nén và truyền tải phổ biến giúp quá trình này ít bị phát hiện hơn. Mục tiêu là thu thập thông tin nhạy cảm và đưa ra khỏi mạng lưới của nạn nhân.

Triển khai Akira ransomware và Tốc độ tấn công

Các mã nhị phân mã hóa của Akira ransomware – được đặt tên là akira.exe, locker.exe, hoặc w.exe – sau đó được khởi chạy, mã hóa các ổ đĩa và các chia sẻ mạng chỉ trong vài giờ.

Trong một số vụ xâm nhập, quá trình mã hóa bắt đầu chỉ sau 55 phút kể từ khi có quyền truy cập ban đầu. Tốc độ này nhấn mạnh sự cần thiết của các biện pháp phát hiện và ứng phó nhanh chóng.

Chỉ báo thỏa hiệp (IOC) và Công cụ khai thác

Mặc dù chiến dịch Akira ransomware này không có các IOC truyền thống như địa chỉ IP cụ thể, các tác nhân đe dọa sử dụng một bộ công cụ và mã nhị phân riêng biệt:

• Mã độc Akira:
  • akira.exe
  • locker.exe
  • w.exe
• Công cụ khám phá và khai thác mạng:
  • Impacket SMB tools
  • Advanced IP Scanner
  • SoftPerfect Network Scanner
  • nltest
  • dsquery
  • PowerShell cmdlets (Get-ADUser, Get-ADComputer)
  • SQLCMD
  • Custom PowerShell scripts (để trích xuất thông tin xác thực Veeam)
• Công cụ truy cập từ xa và duy trì quyền:
  • AnyDesk
  • TeamViewer
  • RustDesk
  • SSH reverse tunnels
  • Cloudflare Tunnel services
• Công cụ né tránh và đánh cắp dữ liệu:
  • WinRAR
  • rclone
  • FileZilla SFTP

Biện pháp phát hiện sớm và Chiến lược phòng ngừa

Phát hiện sớm là cực kỳ quan trọng để ngăn chặn chiến dịch Akira ransomware. Các dấu hiệu như các mẫu đăng nhập VPN bất thường, nguồn gốc từ các ASN hosting, và hoạt động khám phá SMB không mong muốn cung cấp cơ hội tốt nhất để gián đoạn chiến dịch trước khi mã hóa xảy ra.

Sử dụng các gói IRP, mã độc xác định các quy trình bảo mật cụ thể (ví dụ: MsMpEng.exe và SecurityHealthService.exe). Sau đó, nó vũ khí hóa Windows Access Control Lists (ACLs) ở cấp kernel để vô hiệu hóa chúng.

Các tổ chức nên coi trọng bảo mật thông tin xác thực cho các thiết bị biên là thiết yếu. Cần giả định rằng việc vá lỗi đơn thuần là không đủ nếu không đi kèm với việc đặt lại thông tin xác thực và giám sát mạnh mẽ.

Arctic Wolf Labs tiếp tục theo dõi mối đe dọa Akira ransomware này, hợp tác với SonicWall và cộng đồng an ninh mạng để tinh chỉnh các biện pháp phát hiện và bảo vệ chống lại việc khai thác thêm.