Campanha de ransomware Akira explora falha crítica em VPN

Uma vaga de ataques contra clientes da SonicWall VPN, atribuída ao ransomware Akira, está a revelar-se mais grave e persistente do que as primeiras análises sugeriam. A vulnerabilidade em causa, identificada como CVE-2024-40766, foi aproveitada para obter acesso remoto a equipamentos, ignorando mecanismos de autenticação multifator.

De acordo com a Arctic Wolf Labs, que publicou novas descobertas no final de setembro, os atacantes conseguiram acesso inicial através de logins maliciosos em VPN SSL, seguidos por exploração rápida de portas, utilização de ferramentas SMB e a implantação do ransomware em questão. Os investigadores identificaram vítimas em múltiplos setores e geografias, indiciando uma campanha de “exploração em massa oportunista”. A atividade tem sido constante desde julho de 2025, com sinais de aceleração em setembro.

A situação levanta preocupações acrescidas porque, em alguns casos, os tempos de permanência dos atacantes foram reduzidos a poucas horas ou mesmo menos de uma hora, um padrão que limita a capacidade de deteção e respostas das organizações. Apesar das medidas de mitigação já emitidas pela SonicWall, incluindo atualizações de firmware para a versão 7.3.0 e redefinição de credenciais, os investigadores da Arctic Wolf alertam que até versões mais recentes, como a 8.0.2, poderão ter sido comprometidas.

O impacto é significativo e abrange dispositivos NSa e TZ que executam várias versões do SonicOS 6 e 7, entre elas 6.5.5.1-6n, 7.0.1-5065 e 7.3.0-7012. Modelos como os NSa 2600, 2700, 4650, 5700, TZ370 e TZ470 foram especificamente identificados como alvo.

Embora a SonicWall tenha reforçado as suas recomendações, a Arctic Wolf alerta que credenciais roubadas em fases anteriores podem estar a ser reutilizadas em sistemas entretanto atualizados, prolongando a exposição.