Os dispositivos de firewall da SonicWall têm sido cada vez mais visados desde o final de julho em uma onda de ataques de ransomware Akira, potencialmente explorando uma vulnerabilidade de segurança anteriormente desconhecida, de acordo com a empresa de segurança cibernética Arctic Wolf.
Akira emergido em março de 2023 e rapidamente fez muitas vítimas em todo o mundo em vários setores. Nos últimos dois anos, Akira adicionou mais de 300 organizações ao seu portal de vazamento da dark web e reivindicou a responsabilidade por várias vítimas de alto perfil, incluindo Nissan (Oceânia e Austrália), Hitachie Universidade de Stanford.
O FBI diz que a gangue de ransomware Akira coletou mais de US$ 42 milhões em pagamentos de resgate em abril de 2024 de mais de 250 vítimas.
Como observou o Arctic Wolf Labs, várias invasões de ransomware envolveram acesso não autorizado por meio de conexões VPN SSL da SonicWall, a partir de 15 de julho. No entanto, embora uma vulnerabilidade de dia zero sendo explorada nesses ataques seja muito provável, a Arctic Wolf não descartou ataques baseados em credenciais.
“Os métodos de acesso inicial ainda não foram confirmados nesta campanha”, alertaram os pesquisadores do Arctic Wolf Labs. “Embora a existência de uma vulnerabilidade de dia zero seja altamente plausível, o acesso a credenciais por meio de força bruta, ataques de dicionário e preenchimento de credenciais ainda não foi definitivamente descartado em todos os casos.”
Ao longo desse aumento na atividade de ransomware, os invasores fizeram a transição rápida do acesso inicial à rede por meio de contas VPN SSL para criptografia de dados, um padrão consistente com ataques semelhantes detectados desde pelo menos outubro de 2024, indicando uma campanha sustentada direcionada a dispositivos SonicWall.
Além disso, a Arctic Wolf observou que os operadores de ransomware foram observados usando hospedagem de servidor privado virtual para autenticação VPN, enquanto as conexões VPN legítimas geralmente se originam de provedores de serviços de Internet de banda larga.
Os pesquisadores de segurança ainda estão investigando os métodos de ataque usados nesta campanha e fornecerão informações adicionais aos defensores assim que estiverem disponíveis.
Devido à forte possibilidade de uma vulnerabilidade de dia zero da SonicWall ser explorada na natureza, a Arctic Wolf aconselhou os administradores a desativar temporariamente os serviços VPN SSL da SonicWall. Além disso, eles devem implementar outras medidas de segurança, como registro aprimorado, monitoramento de endpoint e bloqueio de autenticação VPN de provedores de rede relacionados à hospedagem, até que os patches estejam disponíveis.
Administradores aconselhados a proteger os dispositivos SMA 100
O relatório do Arctic Wolf vem uma semana depois A SonicWall alertou os clientes para corrigir seus dispositivos SMA 100 contra uma vulnerabilidade crítica de segurança (CVE-2025-40599) que pode ser explorada para obter execução remota de código em dispositivos sem patch.
Como a empresa explicou, embora os invasores precisem de privilégios de administrador para a exploração do CVE-2025-40599, e não haja evidências de que essa vulnerabilidade esteja sendo explorada ativamente, ela ainda pediu aos administradores que protejam seus dispositivos SMA 100, pois eles já estão sendo alvo de Ataques usando credenciais comprometidas para implantar o novo malware rootkit OVERSTEP de acordo com pesquisadores do Google Threat Intelligence Group (GTIG).
A SonicWall também aconselhou “fortemente” os clientes com dispositivos virtuais ou físicos SMA 100 a verificar os indicadores de comprometimento (IoCs) do relatório do GTIG, sugerindo que os administradores revisem os logs de acesso não autorizado e qualquer atividade suspeita e entrem em contato com o suporte da SonicWall imediatamente se encontrarem alguma evidência de comprometimento.
Um porta-voz da SonicWall não estava imediatamente disponível para comentar quando contatado pelo BleepingComputer hoje cedo.
