SonicWall SSL VPN Flaw e Misconfigurações Exploradas Ativamente por Hackers do Ransomware Akira

Ataques do grupo ransomware Akira continuam visando dispositivos SonicWall para acesso inicial. A Rapid7 observou um aumento nas invasões envolvendo appliances SonicWall no último mês, explorando três vulnerabilidades principais:

Vulnerabilidades Exploradas:

• CVE-2024-40766: Falha de segurança de 2024 onde senhas de usuários locais não foram redefinidas durante migrações
• Configurações LDAP: Grupos de usuários padrão do SSL VPN que concedem acesso indevido
• Portal Virtual Office: Acesso público que permite configurar MFA/TOTP com contas comprometidas

Medidas de Mitigação:

• Rotacionar senhas de todas as contas locais SonicWall
• Remover contas locais não utilizadas
• Configurar políticas MFA/TOTP
• Restringir acesso do Portal Virtual Office à rede interna
• Habilitar filtro Botnet e políticas de bloqueio de conta

Contexto do Akira:

• Terceiro grupo mais ativo em julho de 2025 (40 ataques)
• 967 vítimas totais desde março de 2023
• Foco em setores de manufatura e transporte
• Uso de técnicas de SEO poisoning e carga útil Bumblebee
• Utilização do framework AdaptixC2 para exfiltração de dados

O Australian Cyber Security Centre confirmou ataques similares contra organizações australianas. O grupo segue um fluxo padrão: acesso via SSL VPN, escalação de privilégios, exfiltração de dados, exclusão de backups e deploy de ransomware em nível de hipervisor.