أكيرا تستغل أجهزة SonicWall VPN في هجوم صفر-يوم على أجهزة مُحدّثة بالكامل

2 أغسطس 2025 | مايسترو نيرو - قسم الأمن السيبراني

أصبحت أجهزة SonicWall SSL VPN هدفًا رئيسيًا لهجمات برمجية الفدية Akira، في تصاعد ملحوظ للنشاط رُصد في أواخر يوليو 2025.

أفاد باحثو Arctic Wolf Labs أن الهجمات تضمنت دخولًا متكررًا إلى الأنظمة قبل نشر الفدية، وكلها تمر عبر واجهة SonicWall SSL VPN.

"تم رصد فترات قصيرة جدًا بين دخول الحساب عبر SSL VPN وتشفير الفدية. على عكس الدخول الشرعي، الذي يأتي غالبًا من شبكات مزودي الإنترنت، يستخدم المهاجمون خوادم VPS للاتصال." — جوليان توان، Arctic Wolf Labs

هل هي ثغرة صفر-يوم؟

تشير الأدلة إلى أن الهجوم قد يستغل ثغرة أمنية لم تُكتشف بعد (Zero-Day) في أجهزة SonicWall، خصوصًا أن بعض الأجهزة المُختَرَقة كانت:

• مُحدّثة بالكامل (fully-patched)
• محمية بسياسات أمنية قوية

رغم ذلك، لم يتم استبعاد احتمال استخدام بيانات اعتماد مسروقة للوصول الأولي.

لم تُقدّم SonicWall ردًا على استفسارات حول الحادث حتى لحظة نشر هذا التقرير.

متى بدأ الهجوم؟

تم تسجيل التصاعد في الهجمات في 15 يوليو 2025، لكن التحليلات أظهرت أن نشاطات دخول ضارة عبر SonicWall تعود إلى أكتوبر 2024.

هذا يشير إلى حملة مستمرة وطويلة الأمد لاستهداف هذه البنية التحتية.

توصيات للوقاية الفورية

نظرًا لاحتمالية وجود ثغرة صفر-يوم، يُنصح بالإجراءات التالية:

• إيقاف خدمة SonicWall SSL VPN مؤقتًا حتى صدور تصحيح
• فرض المصادقة متعددة العوامل (MFA) للوصول عن بُعد
• حذف الحسابات غير النشطة على جدار الحماية
• الالتزام بممارسات تدقيق كلمات المرور (Password Hygiene)

من هي Akira؟

ظهرت مجموعة Akira لأول مرة في **مارس 2023**، وتُعدّ واحدة من أكثر مجموعات الفدية نشاطًا.

• استهدفت أكثر من 250 ضحية
• حققت عائدات غير مشروعة تُقدّر بـ 42 مليون دولار (في أوائل 2024)
• في الربع الثاني من 2025، كانت الثانية في النشاط بعد Qilin، مع 143 ضحية

"تشير هذه الحوادث إلى تحول في تكتيكات مجموعات الفدية، من استهداف الثغرات المعروفة إلى استغلال نقاط ضعف مخفية في البنية التحتية الحرجة."

تم التعديل في: 2 أغسطس 2025