Akira-ransomware: razendsnelle aanvalsgolf die binnen een uur toeslaat

Onderzoekers waarschuwen voor een actieve ransomwarecampagne — bekend als Akira — die sinds juli 2025 slachtoffers maakt. Wat begon met meerdere ongeautoriseerde toegangspogingen via SonicWall SSL-VPN’s is uitgegroeid tot een van de snelste en meest destructieve campagnes die nu rondgaan. Waar klassieke ransomware-operaties vaak dagen of weken voorbereiding nemen, zien slachtoffers hier dat de volledige keten — van toegang tot wijdverspreide versleuteling — in veel gevallen binnen één uur plaatsvindt.

Hoe de aanval doorgaans verloopt (hoog niveau)

• Initiële toegang via SonicWall SSL-VPN
  Inlogpogingen richten zich op SonicWall SSL-VPN-toegangen. Een bekende kwetsbaarheid uit 2024 (CVE-2024-40766) speelt een rol in eerdere inbraken, maar veel incidenten berusten ook op hergebruik van al eerder gelekte of buitgemaakte inloggegevens.

• Snelle interne verkenning en latere bewegingen
  Kort na een succesvolle login voeren aanvallers geautomatiseerde scans en discovery-acties uit in het interne netwerk; binnen enkele minuten zijn vaak de eerste interne verbindingen en aanmeldpogingen zichtbaar.

• Opschonen van toegangspaden en uitschakelen van verdediging
  Aanvallers richten zich meteen op toegangsgegevens en back-ups. Er worden technieken ingezet om endpoint-bescherming te omzeilen — onder meer door legitieme drivers en processen te misbruiken zodat detectie en blokkering wordt bemoeilijkt.

• Versleuteling in recordtempo
  Zodra toegang en benodigde credentials zijn verzameld, worden encryptietools uitgerold. In veel gevallen is bestandsversleuteling binnen het uur begonnen en in korte tijd ruim verspreid.

Belangrijke technische observaties (niet-hands-on)

• Niet alleen een patchprobleem. Hoewel patches voor de genoemde SonicWall-kwetsbaarheid beschikbaar zijn, blijft het probleem bestaan omdat eerder buitgemaakte wachtwoorden en sessiegegevens hergebruikt worden. Het updaten van firmware alleen blijkt onvoldoende als inloggegevens al zijn gelekt.

• MFA kan omzeild worden. Onderzoekers vermoeden dat aanvallers gestolen OTP-seeds (de initiële geheime sleutel die een TOTP/OTP-generator voedt) hergebruiken om geldige eenmalige codes te genereren. Dit verklaart waarom accounts met 2-factor authenticatie (OTP) soms toch toegankelijk zijn.

• Doelwit: back-ups en wachtwoordopslag. Back-upsystemen (onder meer Veeam-omgevingen worden gerapporteerd) worden vroeg in de keten gemarkeerd en aangevallen; aangeleverde scripts/automatisering halen vaak opgeslagen wachtwoorden uit configuraties of databases om zo verder intern te escaleren.

• Endpoint-omzeiling via legitieme artefacten. In meerdere incidenten zijn technieken vastgesteld waarbij vertrouwde drivers of processen worden misbruikt om beveiligingssoftware te omzeilen, zodat de ransomware vrij kan draaien.

Waarom patches alleen niet genoeg zijn

• Patches dichten kwetsbaarheden, maar bestrijden niet het probleem van al gelekte of hergebruikte credentials en van eerder buitgemaakte OTP-seeds.
• Organisaties met up-to-date firmware kunnen toch slachtoffer worden als aanvallers beschikken over geldige inloggegevens of gecompromitteerde authenticatietokens.
• De snelheid van deze campagne maakt detectie en reactie moeilijker: traditionele incidentresponse-processen die uren tot dagen nodig hebben, zijn regelmatig te traag.

Risico’s en impact

• Zeer korte dwell time: van initiële toegang tot latere bewegingen vaak < 5 minuten; volledige besmetting binnen ≈1 uur.

• Back-up-vervuiling: compromitteerde back-ups vergroten herstelkosten en verkleinen herstelkansen.

• Groot operationeel verlies: productie-servers en kritieke data kunnen snel onbeschikbaar raken; herstel zonder schone, offline back-up kan onmogelijk zijn.

• Mogelijke misbruik van MFA-mechanismen: als OTP-seeds zijn gestolen, verliezen die accounts hun toegevoegde beveiligingswaarde.

Praktische (hoog-niveau) mitigaties — dringend aanbevolen

• Reset en rotatie van alle SSL-VPN-wachtwoorden die ooit op kwetsbare apparaten zijn gebruikt — inclusief service-accounts en opgeslagen credentials.
• Bestaande OTP-seeds intrekken en nieuwe MFA-methodes (bij voorkeur phishing-resistente vormen zoals hardware-tokens of FIDO2) invoeren voor kritieke accounts.
• Veronderstel dat back-ups gecompromitteerd kunnen zijn: controleer de integriteit van back-ups, houd offline/air-gapped back-ups en test herstelprocedures regelmatig.
• Verhoog monitoring van VPN-toegang: detecteer ongewone inlogpatronen, geografische afwijkingen en snelle interne discovery-activiteiten.
• Beperk rechten en segmentatie: minimaliseer beschikbare privileges voor accounts die extern kunnen inloggen; segmenteer netwerk en beheertoegang om laterale beweging te beperken.
• Controleren op diefstal van seeds/credentials: waar mogelijk wachtwoorden, geheime sleutels en OTP-seeds inventariseren en intrekken als ze ooit op kwetsbare systemen stonden.
• Vertrouw niet blind op firmware-versies alleen: updates blijven noodzakelijk, maar combineer die met credential-rotatie, hardening en detectie.
• Incidentresponse-playbooks actualiseren: versnellen van detectie-naar-isolatie-flow en zorgen dat operations teams snel systemen kunnen isoleren en back-ups offline halen.

De Akira-campagne laat zien dat moderne ransomware-acteurs niet alleen beschikken over technische middelen, maar ook over zeer snelle en geautomatiseerde werkstromen. De combinatie van hergebruikte/gecompromitteerde credentials, mogelijk misbruik van OTP-seeds en technieken om back-ups en endpoint-beveiliging uit te schakelen, maakt deze dreiging uitzonderlijk gevaarlijk. Organisaties moeten daarom verder denken dan alleen patchen: credential-rotatie, sterke (phishing-resistente) MFA, offline back-ups, strikte segmentatie en realtime detectie zijn cruciaal om de kans op geslaagde aanvallen substantieel te verkleinen.

Door: Drifter