#StopRansomware: Akira – aktualizacja 13.11.2025. Nowe TTP, wektory wejścia przez SonicWall i ataki na Nutanix AHV - Security Bez Tabu

#StopRansomware: Akira – aktualizacja 13.11.2025. Nowe TTP, wektory wejścia przez SonicWall i ataki na Nutanix AHV

Wprowadzenie do problemu / definicja luki

13 listopada 2025 r. opublikowano zaktualizowaną wspólną poradę (#StopRansomware) dot. grupy Akira. Dokument (AA24-109A) ostrzega o pilnym zagrożeniu dla infrastruktury krytycznej, nowych technikach oraz wskaźnikach kompromitacji (IOC). Najistotniejszy wątek: wejście przez urządzenia VPN (szczególnie SonicWall, CVE-2024-40766) i rozszerzenie szyfrowania na maszyny wirtualne Nutanix AHV, obok już znanych ataków na VMware ESXi/Hyper-V.

W skrócie

  • Wejście: nadużycie urządzeń VPN (m.in. SonicWall, CVE-2024-40766), podatnych usług/urządzeń brzegowych, nie-MFA, spearphishing, hasła wyciekłe/wypryskiwane (password spraying).
  • Rozszerzenie celu: pierwsze potwierdzone szyfrowanie dysków Nutanix AHV (czerwiec 2025).
  • TTP: nltest do odkrywania domen, Impacket/wmiexec, zdalne narzędzia (AnyDesk/LogMeIn), wyłączanie EDR, BYOVD/terminowanie AV.
  • Skala zysków: ~244,17 mln USD do IX 2025 r. (zgłoszenia śledcze FBI).

Kontekst / historia / powiązania

Akira działa co najmniej od marca 2023 r., początkowo Windows + rozszerzenie .akira, potem Megazord (Rust, rozszerzenie .powerranges) oraz Akira_v2; cele na wielu kontynentach i sektorach (produkcja, edukacja, IT, zdrowie, finanse, F&A). Autorzy łączą Akirę z aliasami Storm-1567/Howling Scorpius/Punk Spider/Gold Sahara i możliwymi koneksjami do upadłej Conti.

Od połowy 2025 r. obserwowano kampanię przeciw SonicWall SSL VPN – potwierdzoną też przez CERT-y/branżę (ACSC/ASD, vendor SonicWall, analizy Darktrace/Arctic Wolf).

Analiza techniczna / szczegóły luki

Wejście (Initial Access)

  • VPN bez MFA i znane CVE w produktach sieciowych, w tym Cisco (np. CVE-2020-3259, CVE-2023-20269), oraz SonicWall CVE-2024-40766. Dodatkowo Veeam (CVE-2023-27532, CVE-2024-40711). Często password spraying (np. SharpDomainSpray), RDP, kradzież poświadczeń, a także SSH przez router z publicznym IP.

Przykładowe zapisy do detekcji (Sigma, logon VPN SonicWall – event nieudany/udany z nietypowego ASN/geo):

title: SonicWall SSLVPN Suspicious Geo ASN Login
logsource:
  product: sonicwall
  service: sslvpn
detection:
  selection:
    outcome: success
  filter_geo:
    src_country|contains:
      - 'CN'
      - 'RU'
      - 'BR'
  condition: selection and filter_geo
level: medium
tags: [attack.t1110, initial-access]

Wykonanie (Execution)

  • Częste użycie VBScript do wykonywania poleceń i automatyzacji.

Trwałość / Ruch rozpoznawczy

  • Tworzenie nowych kont domenowych (spotykana nazwa itadm), Kerberoasting, zrzut LSASS (Mimikatz/LaZagne), skanowanie (SoftPerfect/Advanced IP Scanner/NetScan), polecenia net oraz nltest /dclist, nltest /DOMAIN_TRUSTS.

Szybki „hunt” w Windows (PowerShell):

# Nowo utworzeni członkowie Domain Admins w 7d
Get-ADGroupMember "Domain Admins" |
  ForEach-Object { Get-ADUser $_ -Properties whenCreated } |
  Where-Object { $_.whenCreated -gt (Get-Date).AddDays(-7) } |
  Select-Object Name, SamAccountName, whenCreated

# Artefakty net/nltest w PowerShell Operational (ID 4104/4103) i Security 4688
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
  Where-Object {$_.Message -match 'nltest|net.exe'}

Unikanie obrony / Lateral Movement

  • PowerTool + podatny sterownik (BYOVD) do zabijania procesów AV/EDR (m.in. wyłączenie Defendera), nadużycie AnyDesk/LogMeIn, Impacket wmiexec.py, odinstalowanie EDR przed szyfrowaniem.

Szyfrowanie / Wpływ na wirtualizację

  • Po ESXi/Hyper-V, czerwiec 2025: szyfrowanie dysków VM Nutanix AHV – istotna zmiana dla środowisk HCI.

Praktyczne konsekwencje / ryzyko

  • Urządzenia brzegowe (SonicWall) stają się „jednym kliknięciem” do sieci wewnętrznej – nawet z MFA (doniesienia o przejętych seedach OTP/artefaktach pozwalających omijać MFA). Uderza to w model „MFA-i-po-sprawie”.
  • Wirtualizacja: przejście z ESXi/Hyper-V na Nutanix AHV rozszerza powierzchnię ataku i podnosi koszt RTO/RPO przy incydencie.
  • Utrudniona detekcja przez nadużycie legalnych narzędzi, wyłączanie EDR i użycie Impacket w ruchu bocznym.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast załataj i utwardź SonicWall (CVE-2024-40766), zresetuj poświadczenia SSL VPN, rozważ rotację/ponowną rejestrację sekretów OTP/MFA; zaktualizuj do najnowszego SonicOS 7.3.x, zastosuj zalecenia producenta.
  2. Wymuś phishing-resistant MFA (FIDO2/WebAuthn) oraz blokady po wielu nieudanych próbach; ogranicz wskazówki haseł, nie wymuszaj zbyt częstych zmian (zgodnie z NIST), ale wymuś rotację po incydencie VPN.
  3. Segmentacja i zasada najmniejszych uprawnień (kontrola przepływów, izolacja serwerów zarządzania hipernadzorcą/backupem).
  4. Kopie offline + testy odtwarzania (szczególnie VM AHV/ESXi/Hyper-V i repozytoria Veeam).
  5. Monitoring anomalii sieciowych i EDR: wykrywaj nltest/net, wmiexec/Impacket, instalacje AnyDesk/LogMeIn, próby deinstalacji EDR. (Patrz sekcja „hunt”.)
  6. Blokuj narzędzia BYOVD (wdrożenia HVCI/Blocklist sterowników Microsoft, AppControl), monitoruj ładowanie nietypowych sterowników (Sysmon ID 6).
  7. Dodatkowe źródła IOC i ATT&CK mapping – pobierz STIX z aktualizacji AA24-109A i wprowadź do SIEM/SOAR.

Przykładowe reguły (Sysmon/Sigma) – Impacket & nltest:

title: Impacket WMIExec Child Of Python
logsource: { product: windows, service: sysmon }
detection:
  sel1: { EventID: 1, ParentImage|endswith: '\python.exe', Image|endswith: '\wmic.exe' }
  sel2: { EventID: 3, DestinationPort: 135 }  # DCOM
  condition: sel1 or sel2
level: high
tags: [attack.t1047, lateral-movement]

---
title: Domain Discovery with nltest
logsource: { product: windows, service: security }
detection:
  sel: { EventID: 4688, NewProcessName|endswith: '\nltest.exe' }
  condition: sel
level: medium
tags: [attack.t1018,t1482]

Przykładowe zapory/SDN – ogranicz RDP/SMB/WMI do stref adminów:

# Linux nftables - blokuj SMB z podsieci użytkowników do serwerów
nft add rule inet filter forward ip saddr 10.20.0.0/16 ip daddr 10.30.10.0/24 tcp dport {445,139} drop

Różnice / porównania z innymi przypadkami

  • LockBit/ALPHV długo stawiały głównie na ESXi/Hyper-V; Akira jako jedna z pierwszych operacji potwierdzenie ataków na Nutanix AHV, co wymusza aktualizację playbooków IR/BCP dla HCI.
  • Akcent na SonicWall SSL VPN – rzadziej spotykany tak skoncentrowany wektor u konkurencyjnych grup w 2025 r.; zbieżne ostrzeżenia rządowe (ACSC) i vendor.

Podsumowanie / kluczowe wnioski

  1. Brzeg (VPN) to główna brama – łataj i rotuj sekrety. 2) AHV jest już na celowniku – ćwicz odtwarzanie VM poza hipernadzorcą. 3) Detekcja TTP (Impacket/nltest/AnyDesk) i ochrona przed BYOVD muszą być obowiązkowym elementem. 4) Wdróż MFA odporne na phishing i egzekwuj najmniejsze uprawnienia. 5) Pobierz i wprowadź IOC z AA24-109A (STIX).

Źródła / bibliografia

  1. FBI/CISA/DC3/HHS/EC3/NCSC-NL i in., #StopRansomware: Akira Ransomware – aktualizacja 13.11.2025 (AA24-109A). Zawiera TTP/IOC, MITRE ATT&CK i zalecenia.
  2. CISA – strona poradnika AA24-109A (mirror + opis aktualizacji). (CISA)
  3. ACSC/ASD – alert dot. aktywnej eksploatacji CVE-2024-40766 (SonicWall) i powiązania z Akirą. (Cyber.gov.au)
  4. SonicWall – komunikat producenta nt. zagrożeń dla Gen7 i SSLVPN oraz działań naprawczych. (SonicWall)
  5. BleepingComputer – wzmianka o szyfrowaniu Nutanix AHV przez Akirę (potwierdzenie trendu z AA24-109A). (BleepingComputer)