Virksomheder er i fare, efter at Akira-ransomware-gruppen har intensiveret deres angreb mod SonicWalls firewalls og SSL‑VPN-tjenester. Angrebene begyndte midt i juli 2025 og eskalerede hurtigt. Beviser peger på en mulig zero‑day-sårbarhed, selvom stjålne legitimationsoplysninger stadig kan være en alternativ adgangsmetode.
Tidslinje og omfang
Angrebene toppede omkring den 15. juli, hvor flere virksomheder blev ramt inden for få timer. Forskere bemærkede, at selv fuldt opdaterede SonicWall-enheder blev kompromitteret. Nogle ofre havde aktiveret tofaktorgodkendelse og ændret adgangskoder – alligevel lykkedes det angriberne at trænge ind.
Akira-ransomware blev første gang observeret i marts 2023. Siden da har gruppen ramt over 250 ofre globalt og opkrævet mere end 42 millioner dollars i løsepenge. Aktiviteten er steget markant i 2025.
Sådan blev angrebene udført
Ofrene oplevede kompromittering af VPN-konti via SonicWalls SSL‑VPN-portaler. I flere tilfælde brugte angriberne netværk fra hostingudbydere i stedet for almindelige bredbåndsudbydere, hvilket gav spor til forsvarsteams.
De kompromitterede netværk blev hurtigt låst ned – ofte gik der kun få timer fra adgang til datakryptering. Analytikere mener, at brugen af VPS-tjenester hjalp angriberne med at skjule deres aktivitet.
Sårbarhed eller adgang med stjålne data?
Angrebene kan skyldes en endnu ukendt zero‑day-sårbarhed i SonicWalls SSL‑VPN-software. Ifølge Arctic Wolf Labs lykkedes flere af angrebene, selv om MFA var aktiveret og adgangskoder var nyligt ændret. Dog kan enkelte tilfælde også være resultatet af brute-force-angreb eller credential stuffing.
Anbefalede sikkerhedstiltag
Administratorer bør overveje midlertidigt at deaktivere SonicWalls SSL‑VPN-tjenester, indtil en sikkerhedsopdatering frigives. Andre anbefalede tiltag inkluderer:
- Aktivér MFA for al ekstern adgang
- Fjern ubrugte eller inaktive firewallkonti
- Overvåg VPN-logfiler og mistænkelig aktivitet
- Blokér login fra hosting-relaterede netværk (ASNs)
- Aktivér firewallfunktioner som Botnet Protection
Virksomheder, der benytter SonicWall SMA 100-serien, bør gennemgå deres logfiler for uregelmæssigheder og installere de nyeste firmwareopdateringer.
Hvorfor det er vigtigt
Disse angreb viser, hvordan trusselsaktører kan udnytte VPN-adgang, selv i systemer med høj sikkerhed. SonicWall-firewalls bruges ofte som centrale gateways for fjernadgang – hvis de kompromitteres, kan angribere få hurtig adgang til interne systemer.
Konklusion
Bølgen af Akira-angreb på SonicWalls SSL‑VPN-enheder er en alvorlig trussel mod virksomheders cybersikkerhed. Selv opdaterede systemer kan være sårbare – muligvis på grund af en zero‑day. Indtil en patch udgives, bør organisationer styrke autentificering, overvåge trafik og begrænse VPN-adgang proaktivt.
0 svar til “Bølge af Akira‑ransomware rammer SonicWall‑firewalls”