Akira

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.