O grupo de ransomware Akira está conduzindo ataques direcionados contra dispositivos SonicWall, explorando uma falha crítica no componente SSL VPN e se aproveitando de configurações padrão inseguras. A vulnerabilidade, identificada como CVE‑2024‑40766 e com pontuação CVSS de 9.3, afeta dispositivos com contas locais herdadas de versões antigas, cujas senhas não foram atualizadas após migração.
A brecha permite que atacantes autentiquem-se como usuários legítimos e acessem remotamente recursos internos por meio da VPN, especialmente quando configurações adicionais facilitam esse acesso. Um exemplo é a configuração “LDAP SSL VPN Default User Groups”, que, se habilitada, insere automaticamente usuários autenticados do LDAP em grupos locais, mesmo que não tenham essa permissão no Active Directory. Essa falha de configuração pode conceder privilégios excessivos a usuários comuns, incluindo acesso à VPN e até permissões administrativas, tornando o ataque mais eficaz e difícil de detectar. Além disso, o grupo Akira tem abusado do “Virtual Office Portal”, uma interface pública dos dispositivos SonicWall, para registrar MFA ou TOTP em contas com credenciais previamente comprometidas.
A campanha ativa foi observada principalmente desde julho de 2025, com foco em alvos do setor industrial e de transporte. A SonicWall ainda não divulgou correções específicas para todas as variantes de configuração envolvidas, mas especialistas recomendam ações imediatas de mitigação. Entre as recomendações estão a redefinição de senhas de todas as contas locais, desativação de contas inativas, revisão das configurações de grupos LDAP padrão e restrição do acesso ao Virtual Office Portal apenas a redes internas. Também é fundamental ativar autenticação multifator e monitorar logs de autenticação para identificar acessos suspeitos.
