Security

Akira Ransomware Bobol Akun VPN SonicWall Meski Dilindungi MFA

September 29, 2025
2 minutes read

Serangan ransomware Akira yang menargetkan perangkat SonicWall SSL VPN terus berkembang. Peneliti keamanan kini menemukan bahwa pelaku berhasil masuk ke akun meskipun fitur multi-factor authentication (MFA) berbasis one-time password (OTP) telah diaktifkan.

Latar Belakang: Eksploitasi CVE-2024-40766

Pada Juli lalu, BleepingComputer melaporkan dugaan adanya eksploitasi zero-day pada SonicWall SSL VPN untuk menembus jaringan korporat. Namun, SonicWall kemudian mengaitkan serangan dengan kerentanan improper access control (CVE-2024-40766), yang diungkap pada September 2024 dan telah ditambal sejak Agustus 2024.

Sayangnya, meskipun patch sudah diterapkan, kredensial yang dicuri sebelum pembaruan tetap digunakan oleh pelaku untuk melanjutkan serangan. SonicWall bahkan sempat mengimbau administrator agar melakukan reset seluruh akun VPN dan memastikan firmware terbaru SonicOS telah dipasang.

Bypass MFA: Diduga Gunakan OTP Seed yang Dicuri

Laporan terbaru dari Arctic Wolf mengungkap bahwa pelaku Akira mampu melewati tantangan OTP MFA. Indikasinya, terjadi banyak percobaan login dengan OTP berbeda sebelum akhirnya berhasil masuk. Hal ini menimbulkan dugaan kuat bahwa pelaku sudah memiliki akses ke OTP seed (kode dasar pembangkit token OTP), memungkinkan mereka menghasilkan token sah.

Temuan ini konsisten dengan laporan Google Threat Intelligence Group (GTIG) pada Juli lalu. Mereka mendeteksi kelompok finansial UNC6148 yang menargetkan perangkat SonicWall SMA 100 dengan teknik serupa, memanfaatkan OTP seed curian dari serangan sebelumnya untuk mengakses perangkat meski sudah dipatch.

Taktik Setelah Berhasil Masuk

Begitu mendapatkan akses, pelaku Akira bergerak cepat—dalam waktu lima menit mereka mulai memindai jaringan internal. Aktivitas yang diamati meliputi:

  • Menggunakan Impacket SMB untuk setup sesi, login RDP, serta enumerasi Active Directory dengan tool seperti dsquery, SharpShares, dan BloodHound.
  • Fokus pada Veeam Backup & Replication, dengan menjalankan script PowerShell khusus untuk mencuri dan mendekripsi kredensial database MSSQL dan PostgreSQL.
  • Melakukan serangan Bring-Your-Own-Vulnerable-Driver (BYOVD) dengan menyalahgunakan executable sah Microsoft consent.exe untuk sideload DLL berbahaya. Driver rentan (rwdrv.sys, churchill_driver.sys) kemudian dipakai untuk menonaktifkan proteksi endpoint sehingga ransomware bisa berjalan tanpa halangan.

Imbauan untuk Administrator

Serangan terbaru bahkan menargetkan perangkat dengan SonicOS 7.3.0, versi yang sebelumnya direkomendasikan sebagai mitigasi. Oleh karena itu, admin disarankan:

  • Reset semua kredensial VPN pada perangkat yang pernah menjalankan firmware rentan.
  • Audit akses akun dan lakukan monitoring intensif terhadap anomali login.
  • Terapkan lapisan keamanan tambahan, seperti endpoint detection & response (EDR), untuk mencegah eksekusi ransomware.

Ancaman Akira menunjukkan bahwa bahkan mekanisme MFA bisa ditembus jika OTP seed telah bocor, sehingga langkah paling penting adalah mengamankan kredensial dan memastikan kontrol akses diperbarui secara menyeluruh.

Sumber: BleepingComputer, Arctic Wolf, Google Threat Intelligence Group

Tags
September 29, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button