ตามข้อมูลจากบริษัทด้านความปลอดภัยทางไซเบอร์ Arctic Wolf ระบุว่า อุปกรณ์ Firewall ของ SonicWall กำลังถูกโจมตีมากขึ้นอย่างต่อเนื่องด้วย Akira ransomware นับตั้งแต่ช่วงปลายเดือนกรกฎาคมที่ผ่านมา โดยคาดว่าอาจเป็นการโจมตีจากช่องโหว่ด้านความปลอดภัยที่ยังไม่เคยถูกเปิดเผยมาก่อน
Akira ransomware ถูกพบครั้งแรกในเดือนมีนาคม ปี 2023 และได้สร้างความเสียหายให้กับเหยื่อจำนวนมากทั่วโลกในหลากหลายอุตสาหกรรมอย่างรวดเร็ว ในช่วงตลอดสองปีที่ผ่านมา กลุ่ม Akira ได้เพิ่มรายชื่อองค์กรกว่า 300 แห่งลงในเว็บไซต์เผยแพร่ข้อมูลของตนบน dark web และอ้างความรับผิดชอบต่อการโจมตีเหยื่อที่มีชื่อเสียงหลายราย อย่างเช่น Nissan (ในโอเชียเนีย และออสเตรเลีย), Hitachi และมหาวิทยาลัยสแตนฟอร์ด
โดย FBI ระบุว่า ณ เดือนเมษายน ปี 2024 กลุ่ม Akira ransomware ได้เรียกค่าไถ่จากเหยื่อกว่า 250 รายไปแล้ว เป็นมูลค่ารวมกว่า 42 ล้านดอลลาร์สหรัฐ
จากการสังเกตการณ์ของ Arctic Wolf Labs พบว่า การโจมตีด้วย ransomware หลายครั้งเกี่ยวข้องกับการเข้าถึงระบบโดยไม่ได้รับอนุญาตผ่านการเชื่อมต่อ SSL VPN ของ SonicWall โดยเริ่มตั้งแต่วันที่ 15 กรกฎาคมที่ผ่านมา อย่างไรก็ตาม แม้จะมีความเป็นไปได้สูงว่ามีการใช้ช่องโหว่แบบ zero-day ในการโจมตีครั้งนี้ แต่ Arctic Wolf ก็ยังไม่ได้ตัดความเป็นไปได้ของการโจมตีที่ใช้ข้อมูล Credential ออกไป
นักวิจัยจาก Arctic Wolf Labs เตือนว่า "ยังไม่สามารถยืนยันวิธีการที่ใช้เข้าถึงระบบครั้งแรกของการโจมตีในแคมเปญนี้ได้อย่างแน่ชัด แม้จะมีความเป็นไปได้สูงถึงการใช้ช่องโหว่ zero-day แต่การเข้าถึงผ่านการเดารหัสผ่านแบบ brute force, dictionary attack หรือ credential stuffing ก็ยังไม่สามารถตัดออกได้ทั้งหมดในทุกกรณี"
ตลอดช่วงที่มีปฏิบัติการ ransomware เพิ่มสูงขึ้นนี้ ผู้โจมตีได้เปลี่ยนขั้นตอนจากการเข้าถึงเครือข่ายในเบื้องต้นผ่านบัญชี SSL VPN ไปสู่การเข้ารหัสข้อมูลอย่างรวดเร็ว ซึ่งเป็นรูปแบบที่สอดคล้องกับการโจมตีลักษณะเดียวกันที่ถูกตรวจพบมาตั้งแต่เดือนตุลาคม 2024 และแสดงให้เห็นว่าเป็นแคมเปญการโจมตีที่มีการดำเนินการมาอย่างต่อเนื่องโดยมุ่งเป้าไปที่อุปกรณ์ SonicWall
นอกจากนี้ Arctic Wolf ยังตั้งข้อสังเกตว่า พบพฤติกรรมของกลุ่มผู้โจมตีด้วย ransomware ที่ใช้ Hosting แบบ Virtual private server (VPS) สำหรับการยืนยันตัวตนผ่าน VPN ที่ผิดปกติไปจากการเชื่อมต่อ VPN ที่ถูกต้อง โดยปกติมักจะมาจากผู้ให้บริการอินเทอร์เน็ต (ISP) แบบ broadband ทั่วไป
นักวิจัยด้านความปลอดภัยยังคงดำเนินการตรวจสอบวิธีการโจมตีที่ใช้ในแคมเปญนี้ และจะให้ข้อมูลเพิ่มเติมแก่ผู้ดูแลระบบด้านความปลอดภัยในทันทีเมื่อได้รับข้อมูลใหม่
เนื่องจากมีความเป็นไปได้สูงว่ามีการใช้ช่องโหว่ zero-day ของ SonicWall ที่กำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ ทาง Arctic Wolf จึงแนะนำให้ผู้ดูแลระบบปิดการใช้งานบริการ SSL VPN ของ SonicWall เป็นการชั่วคราว พร้อมทั้งให้ดำเนินการเพิ่มมาตรการรักษาความปลอดภัยเพิ่มเติม เช่น เปิดการบันทึก Log ให้ละเอียดมากขึ้น, ตรวจสอบพฤติกรรมของอุปกรณ์ endpoint และบล็อกการยืนยันตัวตน VPN ที่มาจากผู้ให้บริการเครือข่ายที่เกี่ยวข้องกับ hosting จนกว่าจะมีแพตช์ออกมาแก้ไขช่องโหว่ได้สำเร็จ
คำแนะนำสำหรับผู้ดูแลระบบให้รักษาความปลอดภัยของอุปกรณ์ SMA 100
รายงานของ Arctic Wolf นี้ถูกเผยแพร่ออกมาเพียงหนึ่งสัปดาห์หลังจากที่ SonicWall ได้แจ้งเตือนลูกค้าให้รีบติดตั้งแพตช์ความปลอดภัยสำหรับอุปกรณ์ SMA 100 เพื่อแก้ไขช่องโหว่ระดับ Critical (CVE-2025-40599) ที่อาจถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution – RCE) บนอุปกรณ์ที่ยังไม่ได้ทำการอัปเดตแพตช์
ตามที่ SonicWall ได้อธิบาย โดยระบุว่า แม้ว่าผู้โจมตีจะต้องมีสิทธิ์ระดับผู้ดูแลระบบถึงจะสามารถใช้ช่องโหว่ CVE-2025-40599 นี้ได้ แต่ก็ยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกใช้งานจริงในขณะนี้ ทาง SonicWall ยังคงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ความปลอดภัยอุปกรณ์ SMA 100 ของตน เพราะอุปกรณ์เหล่านี้กำลังถูกโจมตีโดยใช้ข้อมูล Credentials ที่ถูกขโมยมาเพื่อติดตั้งมัลแวร์ rootkit ตัวใหม่ที่ชื่อว่า OVERSTEP ตามข้อมูลจากนักวิจัยของ Google Threat Intelligence Group (GTIG)
นอกจากนี้ SonicWall ยังได้แนะนำ ให้ลูกค้าที่ใช้อุปกรณ์ SMA 100 ทั้งแบบ Virtual และแบบ Physical ให้ตรวจสอบ Indicators of Compromise - IoCs จากรายงานของ GTIG โดยแนะนำให้ผู้ดูแลระบบตรวจสอบ Logs เพื่อหาการเข้าถึงที่ไม่ได้รับอนุญาต หรือพฤติกรรมที่น่าสงสัยใด ๆ และให้รีบติดต่อฝ่ายสนับสนุนของ SonicWall ทันทีหากพบหลักฐานการถูกโจมตี
เมื่อวันที่ 1 สิงหาคม 2025 ทาง BleepingComputer ได้ติดต่อสอบถามไปยัง SonicWall แต่ยังไม่ได้รับคำตอบใด ๆ จากทางตัวแทนของบริษัท
ที่มา : bleepingcomputer
You must be logged in to post a comment.