Os dispositivos de firewall da SonicWall têm sido cada vez mais visados desde o final de julho em uma onda de ataques do ransomware Akira, possivelmente explorando uma vulnerabilidade de segurança anteriormente desconhecida, segundo a empresa de cibersegurança Arctic Wolf.
Akira surgiu em março de 2023 e rapidamente fez muitas vítimas mundialmente em várias indústrias.
Nos últimos dois anos, Akira adicionou mais de 300 organizações ao seu portal de vazamento na dark web e reivindicou responsabilidade por várias vítimas de alto perfil, incluindo Nissan (Oceania e Austrália), Hitachi e Universidade de Stanford.
O FBI diz que a gangue do ransomware Akira coletou mais de 42 milhões de dólares em pagamentos de resgate até abril de 2024 de mais de 250 vítimas.
Como observado pelos Arctic Wolf Labs, múltiplas intrusões de ransomware envolveram acesso não autorizado através de conexões SSL VPN da SonicWall, começando em 15 de julho.
No entanto, embora seja muito provável que uma vulnerabilidade zero-day esteja sendo explorada nesses ataques, a Arctic Wolf não descartou ataques baseados em credenciais.
"Os métodos de acesso inicial ainda não foram confirmados nesta campanha", alertaram os pesquisadores da Arctic Wolf Labs.
Embora a existência de uma vulnerabilidade zero-day seja altamente plausível, o acesso a credenciais através de brute force, ataques de dicionário e credential stuffing ainda não foram definitivamente descartados em todos os casos.
Ao longo deste aumento na atividade de ransomware, os atacantes rapidamente transitaram do acesso inicial à rede via contas SSL VPN para criptografia de dados, um padrão consistente com ataques semelhantes detectados desde pelo menos outubro de 2024, indicando uma campanha sustentada visando dispositivos SonicWall.
Além disso, a Arctic Wolf observou que os operadores de ransomware usavam hospedagem de servidor privado virtual para autenticação VPN, enquanto conexões VPN legítimas tipicamente originam-se de provedores de serviços de internet banda larga.
Os pesquisadores de segurança ainda estão investigando os métodos de ataque usados nesta campanha e fornecerão informações adicionais aos defensores assim que estiverem disponíveis.
Devido à forte possibilidade de uma vulnerabilidade zero-day da SonicWall estar sendo explorada na prática, a Arctic Wolf aconselhou os administradores a desativarem temporariamente os serviços SSL VPN da SonicWall.
Além disso, eles devem implementar medidas de segurança adicionais, como logging aprimorado, monitoramento de endpoint e bloqueio de autenticação VPN de provedores de rede relacionados à hospedagem, até que patches estejam disponíveis.
O relatório da Arctic Wolf chega uma semana após a SonicWall alertar os clientes para atualizarem seus aparelhos SMA 100 contra uma vulnerabilidade de segurança crítica (
CVE-2025-40599
) que pode ser explorada para obter execução remota de código em dispositivos não atualizados.
Como a empresa explicou, embora os atacantes precisassem de privilégios de admin para explorar o
CVE-2025-40599
, e não há evidências de que essa vulnerabilidade esteja sendo ativamente explorada, ainda assim instou os administradores a protegerem seus aparelhos SMA 100, já que eles estão sendo visados em ataques usando credenciais comprometidas para implantar o novo malware rootkit OVERSTEP, segundo pesquisadores do Google Threat Intelligence Group (GTIG).
A SonicWall aconselhou "fortemente" os clientes que usam aparelhos SMA 100, virtuais ou físicos, a verificarem se há indicadores de comprometimento (IoCs) no relatório do GTIG, sugerindo que os admins deveriam revisar os logs para acesso não autorizado e qualquer atividade suspeita e contactar o Suporte da SonicWall imediatamente se encontrarem alguma evidência de comprometimento.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...