Especialistas em segurança da Arctic Wolf alertam para uma campanha agressiva do grupo de ransomware Akira, que tem como alvo empresas com dispositivos SonicWall SSL VPN expostos. Os atacantes estão conseguindo acessar redes corporativas e realizar a criptografia de dados em menos de quatro horas após a invasão inicial. O ponto de entrada tem sido o uso de credenciais válidas, muitas vezes coletadas em incidentes anteriores.
Mesmo ambientes protegidos por autenticação multifator têm sido comprometidos, o que levanta suspeitas sobre o uso de seeds clonadas de tokens OTP ou sessões reutilizadas. Após o acesso via VPN, os criminosos realizam reconhecimento da rede, escalam privilégios e tomam o controle de servidores e estações críticas. Durante o ataque, o grupo utiliza ferramentas como Impacket para movimentação lateral e scripts RDP para acesso remoto. Eles buscam desativar soluções de segurança e sistemas de backup antes de executar o ransomware. Também é comum a criação de contas administrativas adicionais, tanto locais quanto de domínio, para garantir persistência.
O ataque está vinculado à falha rastreada como CVE-2024 40766, que afeta o controle de autenticação em dispositivos SonicWall. Mesmo dispositivos atualizados permaneceram vulneráveis em certos cenários, especialmente quando administradores não redefiniram as credenciais após migração entre appliances. Relatórios apontam que os operadores do Akira mantêm um acervo de credenciais antigas e acessam os alvos quando detectam a exposição de um serviço VPN ativo. Essa abordagem reduz a necessidade de explorar novas vulnerabilidades e acelera a execução do ataque.
