SonicWall investiga possível dia zero em meio a surto de ransomware Akira
A SonicWall investiga um possível novo dia zero após o pico nos ataques de ransomware Akira em firewalls Gen 7 com SSLVPN ativado.
A SonicWall está investigando um possível novo dia zero após um aumento no Ataques ransomware Akira visando firewalls Gen 7 com SSLVPN habilitado. A empresa está trabalhando para determinar se os incidentes decorrem de uma falha existente ou de uma vulnerabilidade recém-descoberta.
“Nas últimas 72 horas, houve um aumento notável nos incidentes cibernéticos relatados interna e externamente envolvendo firewalls Gen 7 SonicWallonde o SSLVPN está ativado.” lê o declaração publicado pelo fornecedor. Isso inclui atividades de ameaças destacadas por equipes de pesquisa de segurança cibernética de terceiros, como:
- Lobo do Ártico
- Google Mandiant
- Caçadora
Estamos investigando ativamente esses incidentes para determinar se eles estão conectados a uma vulnerabilidade divulgada anteriormente ou se uma nova vulnerabilidade pode ser responsável.”
A SonicWall está investigando ativamente, colaborando com pesquisadores de ameaças externas e mantendo parceiros e clientes informados. O fornecedor anunciou que lançará correções se uma nova vulnerabilidade for confirmada.
Pesquisadores do Arctic Wolf Labs relataram recentemente queAkira ransomwareestá explorando VPNs SSL da SonicWall em um provável ataque de dia zero, visando até mesmo dispositivos totalmente corrigidos. O Arctic Wolf Labs observou várias intrusões via acesso VPN no final de julho de 2025. As evidências sugerem um provável dia zero nas VPNs da SonicWall, já que dispositivos totalmente corrigidos com MFA e credenciais rotativas ainda foram comprometidos em alguns ataques.
“Embora o acesso a credenciais por meio de força bruta, ataques de dicionário e preenchimento de credenciais ainda não tenham sido definitivamente descartados em todos os casos, as evidências disponíveis apontam para a existência de uma vulnerabilidade de dia zero.” lê orelatóriopublicado pela Arctic Wolf Labs. “Em alguns casos, dispositivos SonicWall totalmente corrigidos foram afetados após a rotação de credenciais. Apesar de o TOTP MFA estar habilitado, as contas ainda foram comprometidas em alguns casos.”
A atividade de ransomware direcionada a VPNs SSL da SonicWall aumentou a partir de 15 de julho de 2025, com casos semelhantes que remontam aOutubro de 2024. Os invasores costumavam usar a hospedagem VPS para logins de VPN, ao contrário do acesso legítimo de ISPs. A Arctic Wolf observou pequenos atrasos entre o acesso e a criptografia e está aplicando suas próprias defesas recomendadas internamente.
“Em contraste com os logins VPN legítimos que normalmente se originam de redes operadas por provedores de serviços de Internet de banda larga, os grupos de ransomware costumam usar a hospedagem de Servidor Privado Virtual para autenticação VPN em ambientes comprometidos.” continua o relatório.
Os pesquisadores recomendam que as organizações considerem desabilitar o serviço SonicWall SSL VPN até que um patch seja disponibilizado e implantado.
A SonicWall aconselha a ativação de serviços de segurança como proteção contra botnets, a aplicação de MFA para todos os acessos remotos e a remoção de contas de firewall não utilizadas. Os especialistas recomendam atualizações regulares de senha. Para limitar a exposição a logins VPN mal-intencionados, as organizações devem considerar o bloqueio da autenticação VPN de ASNs relacionados à hospedagem, embora o bloqueio total possa interromper as operações. Essas etapas ajudam a melhorar a segurança, mas podem não impedir totalmente a ameaça descrita.
A SonicWall pede aos usuários do firewall Gen 7 que apliquem imediatamente as principais mitigações em meio a uma investigação em andamento. As ações recomendadas incluem desabilitar o SSLVPN sempre que possível, restringir o acesso a IPs confiáveis, habilitar serviços de segurança como proteção contra botnet e filtragem de Geo-IP, aplicar MFA (embora possa não impedir totalmente a ameaça), remover contas não utilizadas, especialmente aquelas com acesso SSLVPN e manter práticas de senha fortes. Essas etapas visam reduzir o risco enquanto a SonicWall continua sua investigação.
OAkira ransomwareestá ativo desde março de 2023, os agentes de ameaças por trás do malware invadiram várias organizações em vários setores, incluindo educação, finanças e imóveis. Como outras gangues de ransomware, o grupo desenvolveu um criptografador Linux para atingir servidores VMware ESXi.
Atualização em 5 de agosto de 2025
A empresa de segurança cibernética Huntress detectou cerca de 20 ataques desde 25 de julho de 2025, usando ferramentas como AnyDesk, ScreenConnect e SSH. A atividade parece limitada a firewalls SonicWall das séries TZ e NSa com SSLVPN habilitado, provavelmente explorando uma falha nas versões de firmware 7.2.0-7015 e anteriores.
“Durante nosso investimentosobre a telemetria relacionada a essa atividade, encontramos evidências que sugerem que esse comprometimento pode ser limitado a firewalls SonicWall das séries TZ e NSa com SSLVPN habilitado. Podemos confirmar que a vulnerabilidade suspeita existe nas versões de firmware 7.2.0-7015 e anteriores.” lê o relatório publicado pela Huntress. “Atualmente, tivemos cerca de 20 ataques diferentes diretamente relacionados a esse conjunto específico de eventos, com o primeiro deles começando em 25 de julho. É evidente que alguns desses invasores têm pelo menos parte do mesmo manual ou que são adaptáveis a quaisquer situações que encontrem.”
Siga-me no Twitter:@securityaffairseLinkedineMastodonte
(Assuntos de Segurança–hacking,SonicWall)