كشفت تقارير أمنية حديثة عن موجة متصاعدة من هجمات الفدية تستهدف أجهزة الجدار الناري التابعة لشركة SonicWall، وسط ترجيحات قوية بوجود ثغرة يوم صفر في برمجيات الجهاز تُستغل بشكل موسّع لنشر برمجية الفدية Akira.
وبحسب فريق البحث في شركة Arctic Wolf، فقد بدأت الأنشطة المشبوهة يوم 15 يوليو، حيث سُجلت محاولات وصول غير طبيعية إلى شبكات VPN عبر SonicWall SSL VPN، ثم تطورت خلال الأسبوع التالي إلى عمليات اختراق فعلية.
وأوضح ستيفان هوستتلر، كبير الباحثين في استخبارات التهديدات بالشركة، قائلا: “يبدو أن الهجمات تستهدف أجهزة تعمل بنظام SonicOS، وما زال تحقيقنا في مراحله الأولية، لذلك لا يمكننا تقديم تفاصيل إضافية في الوقت الحالي”.
اختراق بعد التحديث وتغيير كلمات المرور
أشارت نتائج التحقيق إلى أن المهاجمين تمكنوا من التسلل حتى إلى الأجهزة المُحدثة بالكامل، والتي قامت بتغيير كلمات المرور، بل حتى تلك التي تعتمد على المصادقة متعددة العوامل (MFA). هذا ما يزيد من احتمال وجود ثغرة أمنية غير معروفة بعد، يجري استغلالها من قبل المهاجمين بشكل يدوي وفعال.
وقد رُصد استخدام برمجية الفدية Akira في هذه الهجمات، وهي من الأنواع التي تتطلب تفاعلا مباشرا من المهاجم، ما يشير إلى عمليات “على لوحة المفاتيح” وليست مجرد هجمات آلية.
تشابه مع ثغرة سابقة
وذكر التقرير بحوادث مشابهة جرت في عام 2024 عندما استُغلت ثغرة CVE-2024-40766 في SonicWall، في سلسلة من الهجمات الواسعة النطاق. ورغم أن هوية الثغرة الجديدة لم تُؤكد بعد، فإن المؤشرات التقنية تعكس تشابهًا في أساليب التسلل والأدوات المستخدمة.
ورغم التحذيرات المتكررة، لم يصدر حتى لحظة إعداد التقرير أي تعليق رسمي من شركة SonicWall بشأن هذه الأنشطة أو احتمال وجود ثغرة أمنية جديدة.
وقد أكدت Arctic Wolf أنها لم تستبعد احتمال استخدام هجمات القوة الغاشمة أو إغراق بيانات الدخول، لكنها شددت في المقابل على أن الهجمات طالت حتى الأنظمة المحمية والمُحدّثة، ما يعزز فرضية الثغرة المجهولة.
