Akira-ransomware slaat toe binnen een uur

In dit artikel:

Onderzoekers van Arctic Wolf luiden de noodklok over een actieve Akira-ransomwarecampagne die sinds juli 2025 slachtoffers blijft maken. De aanvallers krijgen aanvankelijk toegang via SonicWall SSL VPN’s en misbruiken de in 2024 gedocumenteerde kwetsbaarheid CVE‑2024‑40766, maar het grootste probleem blijkt dat eerder gestolen inloggegevens en OTP-seeds nog altijd bruikbaar zijn. Daardoor lukt het cybercriminelen om in sommige gevallen zelfs tweefactorauthenticatie te omzeilen.

De campagne valt op door extreem tempo: binnen een uur na toegang wordt vaak al ransomware uitgerold, met interne scans en laterale bewegingen die vaak binnen vijf minuten starten. Aanvallers jagen specifiek op back-upsystemen (onder meer Veeam), halen opgeslagen wachtwoorden uit databases met PowerShell-scripts en deactiveren endpointbescherming door misbruik van legitieme drivers. Zelfs apparaten met de aanbevolen SonicOS 7.3.0-firmware zijn getroffen, wat aantoont dat alleen updaten niet voldoende is als inloggegevens eerder zijn gestolen.

Arctic Wolf en SonicWall adviseren dringend alle SSL VPN-wachtwoorden te resetten die ooit op kwetsbare apparaten zijn gebruikt en scherp te monitoren op snelle interne bewegingen. Uit eerder onderzoek van Google blijkt dat het misbruik van OTP-seeds geen geïsoleerd probleem is; organisaties doen er goed aan back-upbeveiliging, credential-rotatie en phishing‑resistente MFA (zoals FIDO2) te overwegen om de impact te verkleinen.