Organisationer hotas när operatörer bakom Akira-ransomware intensifierar attacker mot SonicWalls brandväggar och SSL‑VPN-tjänster. Attackvågen inleddes i mitten av juli 2025 och eskalerade snabbt. Bevis tyder på att en tidigare okänd zero-day-sårbarhet kan ligga bakom, även om lösenordsbaserad åtkomst fortfarande är en möjlig vektor.
Tidslinje och omfattning
Attackerna tog fart runt den 15 juli, då flera företag drabbades inom loppet av några timmar. Forskare noterade att även fullt uppdaterade SonicWall-enheter infekterades. Vissa offer hade aktiverat multifaktorautentisering och bytt lösenord, men angriparna lyckades ändå ta sig in.
Akira-ransomware dök först upp i mars 2023. Sedan dess har gruppen krävt över 42 miljoner dollar i lösensummor från mer än 250 offer världen över. Aktiviteten har fortsatt att öka under 2025.
Så gick attackerna till
Angriparna komprometterade VPN‑konton via SonicWalls SSL‑VPN-portaler. I flera fall använde de nätverk från hosting-leverantörer istället för vanliga bredbandsanslutningar, vilket gav en viktig ledtråd till försvararna.
De infekterade nätverken togs snabbt över – från kontokapning till datakryptering på bara några timmar. Analytiker tror att användning av VPS-tjänster hjälpte angriparna att dölja sin aktivitet.
Sårbarhet eller inloggningsuppgifter?
Attackkampanjen kan bero på en okänd zero-day-sårbarhet i SonicWalls VPN‑kod. Arctic Wolf Labs rapporterade att vissa intrång lyckades trots MFA och nyligen uppdaterade lösenord. Samtidigt misstänks att vissa fall kan bero på credential stuffing eller brute-force‑attacker.
Rekommenderade säkerhetsåtgärder
Administratörer bör överväga att tillfälligt inaktivera SonicWalls SSL‑VPN-tjänster tills en patch finns tillgänglig. Rekommenderade åtgärder inkluderar:
- Aktivera MFA för all fjärråtkomst
- Ta bort oanvända eller inaktiva användarkonton i brandväggen
- Övervaka VPN-loggar och inloggningsmönster
- Blockera autentisering från hosting‑relaterade nätverk (ASNs)
- Aktivera säkerhetsfunktioner som Botnet Protection
Organisationer som använder SonicWall SMA 100‑serien bör kontrollera loggar efter avvikelser och installera aktuella firmwareuppdateringar.
Varför det är viktigt
Den här kampanjen visar hur angripare kan utnyttja VPN-åtkomstpunkter även i härdade miljöer. SonicWall-brandväggar används ofta som centrala fjärråtkomstportar – om de komprometteras kan angriparna snabbt ta kontroll över hela nätverk.
Slutsats
Vågen av Akira-ransomware mot SonicWalls SSL‑VPN‑tjänster utgör ett allvarligt hot mot företagssäkerhet. Även fullt patchade enheter kan vara sårbara, troligen på grund av okända zero‑day‑buggar. Organisationer bör säkra sin VPN-åtkomst, införa stark autentisering och övervaka noggrant tills en officiell lösning finns.
0 svar till ”Våg av Akira‑ransomware slår mot SonicWall‑brandväggar”