A SonicWall confirmou que um ataque cibernético realizado em setembro de 2025 resultou no vazamento de arquivos de configuração de firewalls armazenados na nuvem, afetando clientes em todo o mundo. A empresa atribuiu a ação a um grupo de hackers patrocinado por um Estado-nação, destacando o nível de sofisticação envolvido. Inicialmente, a SonicWall havia informado que menos de 5% de seus clientes haviam sido impactados.
No entanto, após investigação aprofundada com o apoio da Mandiant, a empresa revelou que todos os dispositivos com backups de preferências armazenados no serviço MySonicWall foram acessados pelos atacantes. Os arquivos vazados continham informações como credenciais criptografadas, regras de firewall, nomes de dispositivos, endereços IP e outras configurações sensíveis. Embora os dados estejam protegidos por criptografia, há risco de que possam ser usados em ataques futuros, especialmente contra ambientes mal configurados ou desatualizados. Segundo a SonicWall, os invasores utilizaram chamadas à API da plataforma de nuvem para obter acesso não autorizado aos arquivos. A violação foi limitada ao ambiente de nuvem e não afetou os produtos, firmware, código-fonte ou redes corporativas dos clientes. A empresa enfatizou que o ataque não tem relação com campanhas recentes do ransomware Akira, que também vêm explorando dispositivos de segurança perimetral. O foco dos atacantes neste caso parece ter sido a coleta de informações estratégicas para possíveis ações futuras. Como resposta imediata, a SonicWall bloqueou o acesso malicioso, notificou os clientes impactados e disponibilizou ferramentas de análise de risco.
Além disso, reforçou a recomendação de redefinir senhas de contas MySonicWall e revisar as configurações de segurança de seus dispositivos. A empresa também informou que está adotando medidas estruturais para fortalecer sua plataforma de serviços em nuvem, incluindo melhorias no controle de acesso, na proteção de APIs e no monitoramento em tempo real de atividades anômalas.
