Ende Juli 2025 hat Arctic Wolf Labs, das Threat-Research-Team von Arctic Wolf, eine Reihe von Angriffen beobachtet, bei denen verdächtige „SSL-VPN“-Aktivitäten aufgetreten sind. Hierbei folgten auf unberechtigte Anmeldungen innerhalb weniger Minuten Port-Scans, Impacket-SMB-Aktivitäten und die schnelle Verbreitung der Akira-Ransomware. Die betroffenen Unternehmen sind aus verschiedenen Branchen und weisen unterschiedliche Größen auf, was auf eine opportunistische Herangehensweise der Bedrohungsakteure hindeutet. Und diese Kampagne hat sich kürzlich intensiviert: Erst am 20. September 2025 wurde eine neue damit verbundene Infrastruktur beobachtet.
Wichtige Erkenntnisse im Überblick:
- Ende Juli 2025 stellte Arctic Wolf einen Anstieg schadhafter Aktivitäten fest, die auf Umgebungen mit SonicWall-Firewalls abzielten – eine Kampagne, die zum Zeitpunkt der Veröffentlichung noch aktiv ist.
- Die Angreifer verschafften sich zunächst über maliziöse SSL-VPN-Anmeldungen mit erfolgreicher OTP-Multi-Faktor-Authentifizierung (MFA) Zugang und setzten die Ransomware Akira ein.
- Zu Beginn der Kill-Chain wurden außergewöhnliche SMB-Aktivitäten beobachtet, die auf die Verwendung von Impacket zur Discovery (Vorbereitung) und lateralen Bewegung hindeuten.
- Die Opferunternehmen stammen aus verschiedenen Branchen, was auf opportunistische Massenausbeutung schließen lässt.
- Da die Verweildauer hier üblicherweise wenige Stunden beträgt, ist es unerlässlich, die Aktivitäten frühzeitig zu erkennen und zu unterbinden, um eine Verschlüsselung durch Ransomware und Datendiebstahl zu verhindern.
Info: Weitere Einzelheiten finden sich hier im Arctic-Wolf-Blog: https://arcticwolf.com/resources/blog/smash-and-grab-aggressive-akira-campaign-targets-sonicwall-vpns/
#ArcticWolf
