Grupo de ransomware Akira explora falhas em firewalls

O grupo de ransomware Akira continua a atacar dispositivos SonicWall SSL VPN, recorrendo a contas previamente comprometidas, segundo um alerta da Rapid7.

Em agosto, a SonicWall revelou que a atividade maliciosa explorava a vulnerabilidade CVE-2024-40766, detetada na versão 9.3 das firewalls. O problema estava relacionado com a migração de utilizadores locais em que as palavras-passe não eram redefinidas.

Apesar da disponibilização de um patch de segurança, a Rapid7 sublinha que muitos clientes não concluíram todas as etapas de remediação, incluindo a redefinição obrigatória de todas as palavras-passe locais — um passo crítico que terá sido ignorado em alguns casos.

Segundo os investigadores, esta situação permitiu ao Akira aceder a redes sem recorrer a exploits, apenas reutilizando credenciais comprometidas.

A Rapid7 recomenda que os administradores validem o nível de patch dos dispositivos SonicWall e confirmem se todas as correções de CVE anteriores foram devidamente aplicadas. Além disso, devem realizar auditorias de segurança abrangentes, incluindo o inventário de contas locais, a revisão das políticas LDAP, dos acessos aos portais de escritório virtual e das configurações de MFA. Por fim, é aconselhada a recolha e armazenamento dos registos dos dispositivos para eventuais investigações futuras.

Lawrence Pingree, técnico da Dispersive.io, alerta que protocolos como SSL e IPSec são cada vez mais visados. A dificuldade em aplicar patches devido a restrições de tráfego e janelas de manutenção aumenta o risco. “Só porque um dispositivo é de segurança não significa que esteja imune a falhas”, explica Pingree. “Atualizar a rede e reduzir as superfícies de ataque deve ser uma prioridade absoluta”.