Organisationen stehen unter Druck, da die Betreiber der Akira-Ransomware ihre Angriffe auf SonicWalls Firewalls und SSL‑VPN-Dienste verstärken. Die Angriffsserie begann Mitte Juli 2025 und eskalierte schnell. Hinweise deuten auf eine mögliche Zero-Day-Sicherheitslücke hin – auch wenn kompromittierte Zugangsdaten weiterhin als Eintrittsvektor infrage kommen.
Zeitlicher Ablauf und Ausmaß
Ein starker Anstieg der Angriffe wurde um den 15. Juli verzeichnet, als mehrere Unternehmen innerhalb weniger Stunden kompromittiert wurden. Sicherheitsexperten stellten fest, dass selbst vollständig gepatchte SonicWall-Geräte betroffen waren. Einige Opfer hatten Mehrfaktor-Authentifizierung aktiviert und ihre Passwörter geändert – dennoch gelang den Angreifern der Zugriff.
Die Akira-Ransomware tauchte erstmals im März 2023 auf. Seitdem hat sie über 250 Opfer weltweit gefordert und mehr als 42 Millionen US-Dollar an Lösegeldzahlungen erzielt. Im Jahr 2025 nehmen die Aktivitäten weiter zu.
Vorgehensweise der Angreifer
Die Angreifer kompromittierten VPN-Zugänge über die SSL‑VPN-Portale von SonicWall. In mehreren Fällen nutzten sie Netzwerke von Hosting-Anbietern anstelle klassischer Breitbandanbieter, was Verteidigern einen Hinweis auf die Herkunft lieferte.
Nach der ersten Kompromittierung verliefen die Angriffe rasch – in vielen Fällen wurden Systeme innerhalb weniger Stunden verschlüsselt. Analysten vermuten, dass Virtual Private Server (VPS) genutzt wurden, um die Aktivitäten zu verschleiern.
Sicherheitslücke oder Zugangsdaten?
Die Kampagne könnte auf eine bisher unbekannte Zero-Day-Lücke im Code der SonicWall-SSL‑VPNs zurückzuführen sein. Laut Arctic Wolf Labs wurden mehrere Angriffe trotz aktivierter MFA und aktualisierter Passwörter erfolgreich durchgeführt. In einigen Fällen könnten aber auch Credential Stuffing oder Brute-Force-Angriffe eine Rolle gespielt haben.
Sicherheitsempfehlungen
Administratoren wird geraten, den SSL‑VPN-Dienst von SonicWall vorübergehend zu deaktivieren, bis offizielle Patches verfügbar sind. Weitere empfohlene Maßnahmen:
- MFA für alle Remotezugriffe verpflichtend machen
- Nicht verwendete oder inaktive Benutzerkonten löschen
- VPN-Protokolle und Zugriffsaktivitäten kontinuierlich überwachen
- Authentifizierungen aus Hosting-Netzwerken (ASNs) blockieren
- Firewall-Funktionen wie Botnet Protection aktivieren
Organisationen mit SonicWall SMA 100‑Serie sollten Logdateien auf Auffälligkeiten prüfen und die neueste Firmware installieren.
Warum das wichtig ist
Diese Angriffswelle zeigt, dass Cyberkriminelle auch gut gesicherte VPN-Zugänge ausnutzen können. SonicWall-Firewalls dienen häufig als zentrale Zugangspunkte für Remote-Verbindungen. Wird ein solches System kompromittiert, können sich Angreifer schnell im gesamten Netzwerk ausbreiten.
Fazit
Die Akira-Ransomware-Kampagne gegen SonicWalls SSL‑VPN-Geräte stellt eine ernsthafte Bedrohung für die Unternehmenssicherheit dar. Selbst gepatchte Geräte sind möglicherweise durch unbekannte Zero-Day-Lücken gefährdet. Unternehmen sollten VPN-Zugänge absichern, starke Authentifizierung erzwingen und verdächtige Aktivitäten genau beobachten – bis ein offizieller Patch verfügbar ist.
0 Kommentare zu „Akira‑Ransomware‑Welle trifft SonicWall‑Firewalls“