Organisasjoner står i fare etter at Akira‑ransomware‑operatører har intensivert angrep mot SonicWalls brannmur og SSL‑VPN‑tjenester. Angrepene startet i midten av juli 2025 og økte raskt i omfang. Bevis tyder på en sannsynlig zero‑day‑sårbarhet, selv om innlogging med stjålne legitimasjoner fortsatt er en mulig angrepsvei.
Tidslinje og omfang
Angrepene økte kraftig rundt 15. juli, med flere selskaper rammet i løpet av timer. Forskere bemerket at også fullt oppdaterte SonicWall‑enheter ble kompromittert. Enkelte ofre hadde aktivert tofaktorautentisering og rotert passordene sine – likevel klarte angriperne å bryte gjennom.
Akira dukket først opp i mars 2023. Siden den gang har gruppen rammet over 250 ofre globalt og samlet inn mer enn 42 millioner dollar i løsepenger. Aktiviteten har fortsatt å øke i 2025.
Hvordan angrepene fungerte
Ofrene opplevde kompromittering av VPN‑kontoer via SonicWalls SSL‑VPN‑portaler. I flere tilfeller brukte angriperne nettverk fra hosting‑leverandører i stedet for vanlige bredbåndsleverandører for å koble til VPN. Dette avslørte viktig informasjon til forsvarere.
De kompromitterte nettverkene ble raskt låst ned – fra kontotilgang til datakryptering i løpet av få timer. Analytikere mener bruken av VPS‑tjenester hjalp angriperne med å skjule aktiviteten sin.
Sårbarhet eller stjålne brukerkontoer?
Kampanjen kan skyldes en hittil ukjent zero‑day‑sårbarhet i SonicWalls SSL‑VPN‑kode. Ifølge Arctic Wolf Labs ble flere angrep gjennomført til tross for bruk av MFA og oppdaterte passord. Samtidig er det mulig at noen tilfeller skyldes credential stuffing eller brute-force‑angrep.
Anbefalte sikkerhetstiltak
Administratorer bør vurdere å midlertidig deaktivere SonicWall SSL‑VPN‑tjenester inntil en offisiell sikkerhetsoppdatering er tilgjengelig. Andre anbefalte tiltak inkluderer:
- Aktiver tofaktorautentisering for all ekstern tilgang
- Fjern inaktive eller ubrukt VPN‑brukerkontoer
- Overvåk VPN‑logger og mistenkelig aktivitet
- Blokker autentisering fra hosting‑relaterte nettverk (ASNs)
- Aktiver brannmurfunksjoner som Botnet Protection
Organisasjoner som bruker SonicWall SMA 100‑serien bør undersøke logger for avvik og installere nyeste firmwareoppdateringer.
Hvorfor dette er viktig
Angrepsbølgen viser at trusselaktører kan utnytte VPN‑tilgang selv i miljøer med høy sikkerhet. SonicWall‑brannmurer brukes ofte som kritiske fjernaksesspunkter. Når disse kompromitteres, kan inntrengere raskt få fotfeste i nettverket.
Konklusjon
Bølgen av Akira‑løsepengeangrep mot SonicWalls SSL‑VPN‑tjenester utgjør en alvorlig trussel mot bedrifters sikkerhet. Selv oppdaterte enheter er i fare, trolig på grunn av ukjente zero‑day‑sårbarheter. Organisasjoner bør sikre VPN‑tilgang, bruke sterk autentisering og følge med på uregelmessigheter til en patch er tilgjengelig.
0 svar til “Bølge av Akira‑løsepengevirus treffer SonicWall‑brannmurer”