Zero-Day em SSL VPN da SonicWall é associada em ataques do Ransomware Akira

Uma nova onda de ataques do ransomware Akira tem como alvo os dispositivos de firewall da SonicWall desde o final de julho. A campanha, que explora um ponto de acesso crítico nos firewalls, levanta a suspeita de uma possível vulnerabilidade de segurança ainda desconhecida (zero-day), de acordo com um alerta emitido pela empresa de cibersegurança Arctic Wolf.

Quem é o Grupo Hacker Akira?

O grupo hacker Akira surgiu em março de 2023 e rapidamente se tornou um dos mais ativos no cenário global, vitimando organizações de diversos setores. Nos últimos dois anos, o grupo adicionou mais de 300 empresas ao seu portal de vazamentos na dark web e reivindicou a autoria de ataques a alvos de alto perfil, como Nissan (Oceania e Austrália), Hitachi e a Universidade de Stanford.

Segundo o FBI, até abril de 2024, o grupo Akira já havia arrecadado mais de $42 milhões de dólares em pagamentos de resgate de mais de 250 vítimas, consolidando-se como uma ameaça financeira e operacional significativa.

O Vetor do Ataque: Zero-Day ou Credenciais Comprometidas?

A Arctic Wolf Labs observou que múltiplas invasões de ransomware, iniciadas em 15 de julho, tiveram como ponto de entrada o acesso não autorizado através de conexões SSL VPN dos dispositivos SonicWall. Embora a exploração de uma vulnerabilidade zero-day seja altamente provável, a empresa ainda não descartou a possibilidade de ataques baseados em credenciais.

"Os métodos de acesso inicial ainda não foram confirmados nesta campanha", alertaram os pesquisadores da Arctic Wolf Labs. "Embora a existência de uma vulnerabilidade zero-day seja muito plausível, o acesso por credenciais via força bruta, ataques de dicionário e credential stuffing ainda não foi definitivamente descartado em todos os casos."

Durante esta onda de ataques, os invasores demonstraram grande agilidade, passando rapidamente do acesso inicial à rede via contas SSL VPN para a criptografia de dados — um padrão consistente com ataques semelhantes detectados desde pelo menos outubro de 2024, indicando uma campanha sustentada contra os dispositivos SonicWall.

Adicionalmente, a Arctic Wolf notou que os operadores do ransomware utilizavam servidores privados virtuais (VPS) para a autenticação VPN, enquanto conexões legítimas normalmente se originam de provedores de internet de banda larga, um forte indicador de atividade maliciosa.

Os pesquisadores de segurança ainda estão investigando os métodos exatos usados nesta campanha e prometeram fornecer informações adicionais assim que estiverem disponíveis.

Contexto Adicional: Vulnerabilidade Crítica nos Appliances SMA 100

O relatório da Arctic Wolf surge uma semana após a própria SonicWall alertar seus clientes para aplicarem um patch em seus appliances SMA 100 contra uma vulnerabilidade crítica (CVE-2025-40599). Essa falha, se explorada, pode permitir a execução remota de código em dispositivos desatualizados.

Embora a SonicWall tenha explicado que a exploração da CVE-2025-40599 exigiria privilégios de administrador e que não há evidências de exploração ativa, a empresa pediu urgência na aplicação das correções. Isso porque, segundo pesquisadores do Google Threat Intelligence Group (GTIG), esses mesmos appliances já estão sendo alvo de ataques que usam credenciais comprometidas para implantar um novo rootkit chamado OVERSTEP.

A SonicWall também aconselhou "fortemente" os clientes com appliances SMA 100 a verificar os indicadores de comprometimento (IoCs) do relatório do GTIG, revisar logs em busca de acessos não autorizados e contatar o suporte da SonicWall imediatamente caso encontrem qualquer evidência de invasão.

Recomendações Urgentes para Administradores

Devido à forte possibilidade de uma vulnerabilidade zero-day da SonicWall estar sendo explorada, a Arctic Wolf aconselhou os administradores a desabilitarem temporariamente os serviços de SSL VPN da SonicWall. Além disso, recomendam as seguintes medidas:

• Implementar registro de logs aprimorado.

• Reforçar o monitoramento de endpoints.

• Bloquear a autenticação VPN vinda de provedores de rede relacionados a serviços de hospedagem (hosting).

Um porta-voz da SonicWall não estava imediatamente disponível para comentar quando contatado pelo portal BleepingComputer no início do dia.

Via - BC