Negli ultimi mesi i dispositivi SonicWall sono stati presi di mira dal gruppo ransomware Akira, che ha sfruttato una vulnerabilità critica nei firewall SSL VPN per ottenere accesso iniziale alle reti aziendali. Il difetto principale, identificato come CVE-2024-40766 con un punteggio di gravità CVSS di 9.3, riguarda la migrazione delle password degli utenti locali senza che queste vengano resettate, lasciando così esposti numerosi sistemi.
Incremento degli attacchi e vulnerabilità
Rapid7 ha segnalato un incremento significativo delle intrusioni attraverso appliance SonicWall, in particolare dopo la ripresa dell’attività di Akira dalla fine di luglio 2025. SonicWall ha confermato che gli attacchi sfruttano sia questa vulnerabilità sia configurazioni errate, come l’aggiunta automatica di utenti LDAP autenticati a gruppi locali predefiniti. Questo comportamento può concedere privilegi elevati anche ad account compromessi che normalmente non avrebbero accesso a servizi riservati come VPN SSL, interfacce amministrative o aree di rete sensibili.
Un ulteriore rischio deriva dal Virtual Office Portal di SonicWall: se lasciato con configurazioni di default, può permettere l’accesso pubblico e la configurazione di MFA/TOTP da parte degli attaccanti, una volta ottenute credenziali valide tramite altre tecniche di compromissione.
Misure di mitigazione consigliate
Per mitigare questi rischi, SonicWall raccomanda di abilitare il filtro Botnet per bloccare attori malevoli noti e di attivare policy di blocco account su tentativi di accesso falliti. È fondamentale ruotare le password di tutti gli account locali SonicWall, eliminare quelli inutilizzati, assicurare l’implementazione di MFA/TOTP e limitare l’accesso al Virtual Office Portal solo alla rete interna.
Diffusione e tecniche di attacco di Akira
Il fenomeno è stato confermato anche dal Centro australiano per la sicurezza informatica, che ha registrato numerosi attacchi verso organizzazioni vulnerabili. Dal marzo 2023, Akira ha colpito quasi mille vittime e si è posizionato al terzo posto tra i gruppi ransomware più attivi a metà 2025, con particolare insistenza su settori industriali, manifatturieri e dei trasporti.
Le campagne Akira ricorrono a tecniche di SEO poisoning per diffondere installer trojanizzati di strumenti IT, usati poi per distribuire il loader Bumblebee e, successivamente, il framework AdaptixC2, impiegato per eseguire comandi remoti, trasferire file ed esfiltrare dati. In alcuni casi, campagne parallele hanno sfruttato chiamate su Microsoft Teams per ingannare gli utenti e ottenere accesso remoto tramite Quick Assist.
Il flusso d’attacco tipico di Akira prevede accesso iniziale via SSL VPN, escalation di privilegi, ricerca ed esfiltrazione di file sensibili, eliminazione dei backup e cifratura a livello di hypervisor.