Sonicwall

O ransomware Akira está ampliando seu alcance ao atacar arquivos de disco de máquinas virtuais (VMs) da Nutanix AHV, conforme relatado por agências de segurança dos EUA, incluindo a CISA. Desde junho de 2025, o grupo tem explorado uma vulnerabilidade crítica no SonicWall SonicOS, identificada como CVE-2024-40766, que permite acesso não autorizado a recursos, resultando em falhas nos firewalls. Além disso, o Akira utiliza vulnerabilidades em servidores Veeam Backup & Replication para movimentação lateral e exclusão de backups. Até setembro de 2025, o grupo já havia extorquido mais de US$ 240 milhões em ataques de ransomware. A CISA recomenda que os usuários mantenham seus softwares atualizados e implementem autenticação multifatorial (MFA) para se protegerem contra essas ameaças. O ataque ao Nutanix AHV não é surpreendente, dado que o Akira já havia atacado outras soluções de virtualização, como VMware ESXi e Hyper-V. A situação destaca a necessidade urgente de medidas de segurança robustas em ambientes virtuais.

A SonicWall confirmou que um grupo de ameaças patrocinadas por um Estado foi responsável pela violação de segurança ocorrida em setembro, que resultou na exposição não autorizada de arquivos de backup de configuração de firewall. A empresa esclareceu que a atividade maliciosa foi restrita ao acesso não autorizado a arquivos de backup na nuvem, utilizando uma chamada de API, e que o incidente não está relacionado aos ataques de ransomware Akira que afetam firewalls e outros dispositivos de borda. A SonicWall contratou a Mandiant, empresa pertencente ao Google, para investigar a violação, que afetou menos de 5% de seus clientes que utilizam o serviço de backup na nuvem. A empresa assegurou que seus produtos, firmware e outros sistemas não foram comprometidos e que várias ações corretivas recomendadas pela Mandiant foram implementadas para fortalecer sua infraestrutura de segurança. Os clientes da SonicWall são aconselhados a acessar o MySonicWall.com para verificar seus dispositivos e redefinir as credenciais dos serviços afetados, se necessário. Além disso, a empresa disponibilizou ferramentas online para análise e redefinição de credenciais, visando aumentar a segurança dos serviços.

A empresa de cibersegurança Huntress alertou sobre um comprometimento generalizado de dispositivos SonicWall SSL VPN, que permitiu o acesso a múltiplos ambientes de clientes. Os atacantes estão autenticando rapidamente em várias contas, sugerindo que possuem credenciais válidas, em vez de utilizar força bruta. Desde 4 de outubro de 2025, mais de 100 contas SonicWall em 16 clientes foram afetadas, com autenticações originadas do IP 202.155.8[.]73. Embora alguns atacantes tenham se desconectado rapidamente, outros realizaram atividades de varredura de rede e tentativas de acesso a contas locais do Windows. Este incidente segue a revelação de que arquivos de configuração de firewall armazenados em contas MySonicWall foram expostos de forma não autorizada, afetando todos os clientes que utilizam o serviço de backup em nuvem da SonicWall. A Huntress recomenda que as organizações redefinam suas credenciais e implementem autenticação multifator (MFA) para proteger suas contas administrativas e remotas. O aumento das atividades de ransomware, como a campanha Akira, que explora falhas conhecidas, destaca a importância de manter práticas de atualização de segurança rigorosas.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

A SonicWall anunciou que um grupo não autorizado teve acesso a arquivos de backup de configuração de firewall de todos os clientes que utilizam seu serviço de backup em nuvem. Embora as credenciais contidas nesses arquivos estejam criptografadas, a empresa alertou que a posse desses arquivos pode aumentar o risco de ataques direcionados. A SonicWall está notificando todos os parceiros e clientes e disponibilizou ferramentas para avaliação e remediação dos dispositivos afetados. Os clientes são aconselhados a acessar suas contas no MySonicWall.com para verificar se seus firewalls estão impactados. A empresa classificou os dispositivos afetados em três categorias, com prioridade alta para aqueles com serviços expostos à internet. Este incidente segue um alerta anterior da SonicWall sobre a necessidade de redefinição de credenciais após a exposição de arquivos de configuração em uma violação de segurança que afetou contas do MySonicWall. A SonicWall ainda não revelou quantos clientes utilizam o serviço de backup em nuvem, nem a identidade dos atacantes, mas afirmou que reforçou sua infraestrutura e implementou controles de autenticação mais rigorosos para evitar recorrências.

O ransomware Akira está explorando a vulnerabilidade CVE-2024-40766 para acessar dispositivos VPN SSL da SonicWall, mesmo em contas que utilizam autenticação multifator (MFA). Pesquisadores de segurança, como os da Arctic Wolf Labs, relataram um aumento nos logins maliciosos em instâncias da SonicWall SSL VPN, sugerindo que os atacantes conseguiram comprometer as sementes de senhas de uso único (OTP), permitindo que contornassem as proteções de MFA. Apesar de a SonicWall ter lançado patches e recomendado a redefinição de credenciais, os ataques continuam a ocorrer. O Google identificou um grupo de ameaças, denominado UNC6148, que está utilizando credenciais e sementes de OTP roubadas em campanhas de ataque direcionadas a dispositivos SonicWall SMA 100, que estão fora de suporte. Isso levanta preocupações significativas sobre a eficácia das medidas de segurança implementadas, uma vez que os atacantes estão conseguindo autenticar-se em contas protegidas por MFA. A situação destaca a necessidade de vigilância contínua e de ações proativas para proteger as infraestruturas de TI contra essas ameaças emergentes.

A SonicWall anunciou uma atualização de segurança urgente para seus dispositivos Secure Mobile Access (SMA) da série 100, visando eliminar um rootkit persistente conhecido como ‘OVERSTEP’. A atualização, identificada como versão 10.2.2.2-92sv, introduz verificações de integridade de arquivos aprimoradas, capazes de detectar e remover componentes maliciosos implantados por essa ameaça. Organizações que utilizam os modelos SMA 210, 410 e 500v são fortemente aconselhadas a aplicar o patch imediatamente para mitigar riscos de exploração. O rootkit OVERSTEP foi identificado pela Google Threat Intelligence Group (GTIG) como uma ameaça sofisticada, capaz de estabelecer acesso encoberto e persistente a redes corporativas, permitindo que atacantes se movam lateralmente, exfiltrando dados e implantando cargas adicionais. A SonicWall enfatiza que a única forma de eliminar a ameaça é atualizar para a versão corrigida, pois não há soluções alternativas viáveis. O não cumprimento dessa recomendação pode expor as redes a acessos não autorizados e vigilância persistente. O patch não afeta as appliances da série SMA1000 e as funcionalidades SSL-VPN em produtos de firewall da SonicWall.

A SonicWall alertou seus clientes sobre a necessidade urgente de redefinir senhas administrativas e de usuários em seus ambientes de firewall, após um vazamento de arquivos de backup do serviço MySonicWall. Entre 10 e 15 de setembro, um ator desconhecido explorou uma vulnerabilidade zero-day no sistema de upload de arquivos do portal, obtendo acesso a arquivos de configuração XML que continham credenciais criptografadas, chaves pré-compartilhadas de VPN e segredos de acesso à gestão. Embora os arquivos estivessem criptografados, a SonicWall confirmou que parâmetros de criptografia fracos permitiriam que adversários habilidosos quebrassem a proteção em poucas horas. A empresa recomenda que os clientes desativem interfaces de gerenciamento expostas à WAN e redefinam todas as contas de usuários locais, além de regenerar chaves de VPN e atualizar credenciais em servidores de autenticação. A SonicWall também enfatiza a importância de monitorar logs de auditoria para detectar atividades anômalas e promete lançar atualizações de firmware para corrigir a falha no portal MySonicWall.

A SonicWall alertou seus clientes sobre a exposição de arquivos de backup de configuração de firewall em uma violação de segurança que afetou contas do MySonicWall. A empresa detectou atividades suspeitas direcionadas ao serviço de backup em nuvem, resultando no acesso não autorizado a arquivos de preferência de firewall de menos de 5% de seus clientes. Embora as credenciais dentro dos arquivos estivessem criptografadas, informações contidas neles poderiam facilitar a exploração dos firewalls. A SonicWall não registrou vazamentos online desses arquivos e afirmou que o incidente não foi um ataque de ransomware, mas uma série de ataques de força bruta. Os clientes afetados foram orientados a verificar se os backups em nuvem estão habilitados, revisar logs e implementar procedimentos de contenção, como limitar o acesso a serviços e redefinir senhas. Além disso, a SonicWall disponibilizou novos arquivos de preferência que incluem senhas aleatórias para usuários locais e chaves VPN IPSec randomizadas. O alerta surge em um contexto em que grupos de ransomware, como o Akira, continuam a explorar dispositivos SonicWall não corrigidos, aproveitando uma vulnerabilidade crítica conhecida (CVE-2024-40766).

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.