A empresa de cibersegurança Huntress alertou, na sexta-feira, sobre um "comprometimento generalizado" de dispositivos SonicWall SSL VPN, usados para acessar múltiplos ambientes de clientes.
Segundo a companhia, “os atores maliciosos estão autenticando rapidamente em várias contas por meio dos dispositivos comprometidos”.
A velocidade e a escala dos ataques indicam que os invasores aparentemente possuem credenciais válidas, em vez de utilizarem ataques de brute force.
Grande parte dessas atividades teve início em 4 de outubro de 2025, afetando mais de 100 contas de SonicWall SSL VPN vinculadas a 16 clientes diferentes.
Nas investigações conduzidas pela Huntress, as autenticações nos dispositivos SonicWall partiram do endereço IP 202[.]155.8[.]73.
A empresa destacou que, em algumas situações, os invasores desconectaram-se após um curto período, sem realizar ações adversas adicionais na rede.
Em outros casos, porém, foram detectadas atividades de varredura da rede e tentativas de acesso a diversas contas locais do Windows.
O alerta surge logo após a SonicWall reconhecer um incidente de segurança que resultou na exposição não autorizada de arquivos de backup da configuração de firewall armazenados nas contas MySonicWall.
De acordo com a última atualização, a violação impacta todos os clientes que utilizaram o serviço de backup em nuvem da SonicWall.
A Arctic Wolf ressaltou a gravidade do incidente: “Os arquivos de configuração do firewall contêm informações sensíveis que podem ser exploradas por atores maliciosos para invadir a rede da organização.
Eles armazenam dados essenciais, como configurações de usuários, grupos e domínios, DNS, logs e certificados.”
Por enquanto, a Huntress não encontrou evidências que conectem diretamente essa violação ao recente aumento de comprometimentos.
Diante da sensibilidade das credenciais armazenadas nas configurações do firewall, recomenda-se que as organizações que usam o serviço de backup em nuvem MySonicWall redefinam as credenciais em seus dispositivos ativos para evitar acessos não autorizados.
Além disso, aconselha-se restringir o gerenciamento via WAN e o acesso remoto sempre que possível, revogar quaisquer chaves de API externas relacionadas ao firewall ou sistemas de gestão, monitorar logins em busca de atividades suspeitas e implementar autenticação multifator (MFA) para todas as contas administrativas e remotas.
Esse incidente ocorre em meio ao aumento da atividade de ransomware que explora dispositivos SonicWall para obter acesso inicial às redes.
Os ataques aproveitam vulnerabilidades conhecidas, como a
CVE-2024-40766
, para invadir ambientes e implantar o ransomware Akira.
Em relatório divulgado esta semana, a Darktrace identificou uma intrusão em um cliente nos EUA no final de agosto de 2025, que envolveu varredura de rede, reconhecimento, movimentação lateral, escalonamento de privilégios com técnicas como Pass-the-Hash, além da exfiltração de dados.
“Um dos dispositivos comprometidos foi identificado posteriormente como um servidor VPN SonicWall, o que sugere que o incidente faz parte da campanha mais ampla do ransomware Akira, que mira tecnologias SonicWall”, afirmou a empresa.
“Essa campanha evidencia a importância crítica de manter as práticas de patching atualizadas. Os atacantes continuam explorando vulnerabilidades já divulgadas, não apenas zero-days, o que reforça a necessidade de vigilância constante mesmo após a disponibilização dos patches.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...