Contas VPN da SonicWall comprometidas por ransomware Akira

BR Defense Center (By River de Morais e Silva)
ransomware

O ransomware Akira está explorando a vulnerabilidade CVE-2024-40766 para acessar dispositivos VPN SSL da SonicWall, mesmo em contas que utilizam autenticação multifator (MFA). Pesquisadores de segurança, como os da Arctic Wolf Labs, relataram um aumento nos logins maliciosos em instâncias da SonicWall SSL VPN, sugerindo que os atacantes conseguiram comprometer as sementes de senhas de uso único (OTP), permitindo que contornassem as proteções de MFA. Apesar de a SonicWall ter lançado patches e recomendado a redefinição de credenciais, os ataques continuam a ocorrer. O Google identificou um grupo de ameaças, denominado UNC6148, que está utilizando credenciais e sementes de OTP roubadas em campanhas de ataque direcionadas a dispositivos SonicWall SMA 100, que estão fora de suporte. Isso levanta preocupações significativas sobre a eficácia das medidas de segurança implementadas, uma vez que os atacantes estão conseguindo autenticar-se em contas protegidas por MFA. A situação destaca a necessidade de vigilância contínua e de ações proativas para proteger as infraestruturas de TI contra essas ameaças emergentes.

Fonte: https://www.techradar.com/pro/security/sonicwall-vpn-accounts-breached-by-akira-ransomware-even-those-using-mfa

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
29/09/2025 • Risco: CRITICO
RANSOMWARE

Contas VPN da SonicWall comprometidas por ransomware Akira

RESUMO EXECUTIVO
O incidente destaca a vulnerabilidade de dispositivos SonicWall, mesmo após correções, e a eficácia limitada das medidas de segurança como MFA. A exploração da CVE-2024-40766 por grupos de ransomware como o UNC6148 representa uma ameaça significativa para a segurança das informações e a conformidade regulatória.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a interrupções e custos de recuperação.
Operacional
Acesso não autorizado a contas com MFA habilitado.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']

📊 INDICADORES CHAVE

Aumento de logins maliciosos em instâncias da SonicWall SSL VPN. Indicador
Exploração de uma vulnerabilidade que foi corrigida em setembro de 2024. Contexto BR
Grupo UNC6148 identificado como responsável pelos ataques. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e autenticação em dispositivos SonicWall.
2 Redefinir credenciais de acesso e revisar configurações de segurança.
3 Monitorar tentativas de login e atividades suspeitas em tempo real.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança das VPNs, que são críticas para o trabalho remoto e a proteção de dados corporativos.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).