Ransomware Akira explora falhas em VPN SonicWall herdadas

O grupo de ransomware Akira está a explorar ativamente vulnerabilidades em dispositivos VPN SSL da SonicWall, transformando os processos de fusões e aquisições (M&A) em plataformas de lançamento de alta velocidade para ciberataques. Esta tática expõe pontos cegos perigosos, uma vez que dispositivos SonicWall herdados, provenientes de empresas adquiridas, servem como pontos de entrada fáceis para os cibercriminosos.

O modus operandi do Akira demonstra uma notável rapidez em exfiltrar dados confidenciais e implementar o ransomware. Segundo a Relia Quest, em incidentes recentes, os atacantes obtiveram acesso inicial a grandes redes empresariais através de dispositivos VPN SSL da SonicWall remanescentes de empresas mais pequenas adquiridas.

Os fatores que tornam estes dispositivos legacy alvos ideais incluem a acessibilidade e implementação generalizada – as PME valorizam as VPN SSL da SonicWall pelo seu preço acessível e facilidade de utilização – e as dívidas de segurança – as redes herdadas frequentemente carecem de soluções modernas de EDR, têm configurações padrão incorretas, vulnerabilidades não corrigidas e credenciais obsoletas que são transferidas, mas não monitorizadas pela empresa adquirente.

Uma vez dentro do sistema, os operadores do Akira atuam com extrema rapidez: procuram credenciais privilegiadas, que proporcionam acesso rápido a sistemas vitais; convenções de nomenclatura previsíveis; exfiltram dados em minutos após obterem acesso e deslocam-se lateralmente para implementar o ransomware em menos de uma hora; e exploram a proteção inconsistente dos endpoints utilizando o sideloading de DDL para desativar as defesas antes de encriptar os sistemas.

A rápida adoção de dispositivos SonicWall em empresas mais pequenas, aliada à dívida de segurança herdada, cria riscos complexos durante as fusões e aquisições.