- A partir de meados de julho de 2025, houve um aumento nos logins maliciosos
- Os pesquisadores especulam criminosos encontraram um dia zero
- Os usuários são aconselhados a fortalecer sua postura de segurança cibernética
Há uma chance de os dispositivos VPN SONWALL SSL carregando uma vulnerabilidade de dias zero que os cibercriminosos de Akira descobriram e agora estão usando na natureza.
Em meados de julho deste ano, os pesquisadores de segurança cibernética do Arctic Wolf Labs observaram um aumento nos logins maliciosos, todos passando pelas instâncias Sonicwall SSL VPN. Como alguns dos pontos de extremidade foram totalmente remendados no momento da intrusão, os pesquisadores especulam que eles podem conter uma falha de zero dia.
No entanto, eles não descartaram a possibilidade de que os invasores tenham apenas um conjunto de credenciais de login ativas de algum lugar e os usassem para obter acesso.
No radar do FBI
De qualquer forma, as organizações que sofreram esses logins maliciosas também foram infectados com o Akira Ransomware logo depois.
“Foi observado um curto intervalo entre o acesso inicial à conta SSL VPN e a criptografia de ransomware”, explicou os pesquisadores. “Em contraste com os logins legítimos da VPN, que normalmente se originam das redes operadas por provedores de serviços de Internet de banda larga, os grupos de ransomware geralmente usam hospedagem virtual de servidor privado para autenticação de VPN em ambientes comprometidos”.
Até que o Sonicwall apareça com um patch, ou pelo menos uma explicação, as empresas que usam essas VPNs são aconselhadas a fazer cumprir a autenticação de vários fatores (MFA), excluir contas de firewall inativas e não utilizadas e garantir que suas senhas sejam frescas, fortes e únicas.
Akira é uma tensão de ransomware que apareceu pela primeira vez em março de 2023, visando empresas em vários setores. É conhecido por obter a posição inicial por meio de credenciais comprometidas da VPN e serviços expostos.
O grupo tem como alvo os sistemas Windows e Linux e é conhecido por desmantelar backups para impedir a recuperação. Em meados de 2025, Akira tem sido responsável por ataques a centenas de organizações em todo o mundo, incluindo a Universidade de Stanford, Nissan Austrália e Tietoevry. O grupo geralmente instrui suas vítimas a contatá-las por meio de um site baseado em Tor.
O FBI e o CISA emitiram avisos sobre sua atividade, pedindo às organizações que implementem defesas de rede mais fortes e autenticação multifatorial.
Via The Hacker News
Fique conectado