Onderzoekers van Arctic Wolf slaan alarm over een ransomwarecampagne die al sinds juli 2025 aan de gang is en nog altijd slachtoffers maakt. Wat begon als een reeks inbraken via SonicWall-firewalls is inmiddels uitgegroeid tot een van de snelste en gevaarlijkste aanvallen van dit moment. Nieuw onderzoek toont aan dat ook apparaten met de meest recente firmware kwetsbaar blijven.
De criminelen achter Akira-ransomware werken met ongekende snelheid. Waar ransomware-aanvallen normaal dagen of weken voorbereiding vergen, rollen de aanvallers in deze campagne hun gijzelsoftware vaak al binnen een uur uit. Dat maakt deze dreiging bijzonder gevaarlijk voor organisaties die niet scherp monitoren.
De aanvallen beginnen met inlogpogingen via SonicWall SSL VPN’s. Kort na een succesvolle toegang volgen scans van het interne netwerk en pogingen om via Windows-omgevingen verder binnen te dringen. Vaak duurt het minder dan vijf minuten voordat de eerste interne bewegingen zichtbaar zijn. Het versleutelen van bestanden volgt in recordtempo.
Volgens SonicWall maken de aanvallers gebruik van een kwetsbaarheid die in 2024 werd ontdekt, CVE-2024-40766. Hoewel hiervoor patches zijn uitgebracht, blijven eerder buitgemaakte wachtwoorden bruikbaar. Opvallend is dat criminelen zelfs toegang krijgen tot accounts die beveiligd zijn met een eenmalig wachtwoord als tweede factor. Onderzoekers vermoeden dat dit mogelijk wordt door eerder gestolen OTP-seeds te hergebruiken om nieuwe codes te genereren.
Ook MFA niet waterdicht
Dit vermoeden sluit aan bij eerdere bevindingen van Google Threat Intelligence Group. Die beschreef een soortgelijke campagne waarbij OTP-seeds werden misbruikt om in te loggen, zelfs op volledig bijgewerkte apparaten. Daarmee lijkt het probleem groter dan één specifieke aanvalsgolf en bevestigt het dat MFA niet altijd waterdicht is.
Eenmaal binnen verliezen de aanvallers geen tijd. Ze richten zich vaak meteen op back-upsystemen, waaronder Veeam Backup & Replication. Met een eigen PowerShell-script halen ze opgeslagen wachtwoorden uit databases, wat hen toegang geeft tot kritieke servers. Ook beveiligingssoftware vormt geen onoverkomelijke hindernis: via een aanvalstechniek waarbij legitieme drivers worden misbruikt, schakelen ze endpointbescherming uit om de ransomware ongehinderd te laten draaien.
Zelfs apparaten met SonicOS 7.3.0, de aanbevolen versie, zijn getroffen. Daarmee is duidelijk dat updaten alleen niet voldoende is. Arctic Wolf en SonicWall adviseren daarom dringend om alle inloggegevens van SSL VPN’s te resetten die ooit op kwetsbare apparaten zijn gebruikt.