Atores de ameaça afiliados ao grupo de ransomware Akira continuam a mirar dispositivos SonicWall para obter acesso inicial.
A empresa de cybersecurity Rapid7 informou que observou um aumento nas intrusões envolvendo appliances SonicWall no último mês, especialmente após relatos de uma renovada atividade do ransomware Akira desde o final de julho de 2025.
Em resposta, a SonicWall revelou que a atividade na SSL VPN direcionada a seus firewalls explorava uma vulnerabilidade de segurança com um ano de existência (
CVE-2024-40766
, CVSS score: 9.3).
Nessa falha, senhas de usuários locais eram preservadas durante a migração e não eram resetadas.
“Estamos observando um aumento nas tentativas de brute-force para credenciais de usuários”, destacou a empresa.
“Para mitigar riscos, os clientes devem ativar o Botnet Filtering para bloquear atores de ameaça conhecidos e garantir que as políticas de Account Lockout estejam habilitadas.”
A SonicWall também recomendou que os usuários revisem os LDAP SSL VPN Default User Groups, que foram descritos como um “ponto crítico de vulnerabilidade” caso estejam mal configurados no contexto de ataques do ransomware Akira.
Essa configuração adiciona automaticamente todo usuário LDAP autenticado com sucesso a um grupo local predefinido, independentemente da sua real pertença no Active Directory.
Caso esse grupo padrão tenha acesso a serviços sensíveis — como SSL VPN, interfaces administrativas ou zonas de rede sem restrição — qualquer conta AD comprometida, mesmo sem a necessidade legítima desses serviços, herdará instantaneamente essas permissões.
Isso contorna os controles de acesso baseados em grupos do AD, fornecendo aos atacantes um caminho direto para o perímetro da rede assim que obtêm credenciais válidas.
No alerta da Rapid7, também foi reportado que atores de ameaça têm acessado o Virtual Office Portal hospedado em appliances SonicWall, que em certas configurações padrão pode facilitar o acesso público e permitir que invasores configurem MFA/TOTP com contas válidas, presumindo uma exposição prévia de credenciais.
“O grupo Akira potencialmente combina esses três vetores de vulnerabilidade para obter acesso não autorizado e realizar operações de ransomware”, afirmou a empresa.
Para reduzir o risco, recomenda-se que as organizações façam a troca periódica das senhas de todas as contas locais SonicWall, removam contas locais não utilizadas ou inativas, configurem políticas de MFA/TOTP e restrinjam o acesso ao Virtual Office Portal apenas para a rede interna.
O direcionamento do Akira aos SSL VPNs da SonicWall também foi confirmado pelo Australian Cyber Security Centre (ACSC), que reconheceu estar ciente de ataques do grupo ransomware contra organizações australianas vulneráveis por meio desses dispositivos.
Desde sua estreia em março de 2023, o Akira se mantém como uma ameaça persistente no cenário de ransomware, tendo reivindicado 967 vítimas até o momento, segundo dados do Ransomware.Live.
Conforme estatísticas compartilhadas pela CYFIRMA, o Akira protagonizou 40 ataques em julho de 2025, sendo o terceiro grupo mais ativo, atrás apenas de Qilin e INC Ransom.
Dos 657 ataques de ransomware a entidades industriais globalmente registrados no segundo trimestre de 2025, as famílias Qilin, Akira e Play ocuparam as três primeiras posições, com 101, 79 e 75 incidentes, respectivamente.
O Akira manteve “atividade substancial, com foco consistente nos setores de manufatura e transporte, utilizando técnicas sofisticadas de phishing e implantações multi-plataforma de ransomware”, apontou a empresa de cybersecurity industrial Dragos em relatório publicado no mês passado.
Infecções recentes do Akira também usaram técnicas de SEO poisoning para distribuir instaladores trojanizados de ferramentas populares de IT management, que são então usados para instalar o loader de malware Bumblebee.
As campanhas em sequência utilizam o Bumblebee como vetor para distribuir o framework de pós-exploração e emulação adversarial AdaptixC2, instalar o RustDesk para acesso remoto persistente, exfiltrar dados e implantar o ransomware.
De acordo com a Palo Alto Networks Unit 42, o AdaptixC2 é versátil e modular, permitindo que os atores de ameaça executem comandos, transfiram arquivos e realizem exfiltração de dados em sistemas infectados.
O fato de ser open-source significa que pode ser customizado por adversários para suprir suas necessidades específicas.
Outras campanhas que propagam o AdaptixC2, informou a empresa de cybersecurity, utilizam chamadas no Microsoft Teams simulando help desk de TI para enganar usuários e convencê-los a conceder acesso remoto via Quick Assist, onde um script PowerShell é executado para descriptografar e carregar na memória um payload em shellcode.
“O grupo Akira segue um fluxo padrão de ataque: obter acesso inicial via componente SSLVPN, escalar privilégios para conta elevada ou service account, localizar e roubar arquivos sensíveis de network shares ou file servers, deletar ou interromper backups e finalmente implantar criptografia de ransomware em nível de hypervisor”, explicou a Rapid7.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...