Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Redazione RHC : 28 Settembre 2025 14:59

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira.

Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti.

La vulnerabilità sfruttata e il ruolo delle credenziali rubate

Gli accessi abusivi sono stati collegati al CVE-2024-40766, una vulnerabilità di controllo degli accessi resa pubblica nel 2024. La principale ipotesi è che i criminali abbiano raccolto in passato credenziali da dispositivi esposti e vulnerabili, ora sfruttate anche contro apparati già aggiornati. Questo spiega perché siano stati compromessi sistemi completamente patchati, circostanza che inizialmente aveva alimentato l’ipotesi di un nuovo exploit zero-day.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un altro elemento critico riguarda la MFA OTP di SonicWall: gli attaccanti sono riusciti ad autenticarsi anche con account protetti da questa funzione, aumentando la gravità della campagna.

Tecniche e strumenti utilizzati

Una volta ottenuto l’accesso tramite VPN SSL, gli aggressori:

• avviano la scansione della rete interna per identificare porte esposte come SMB (445), RPC (135) e SQL (1433);
• utilizzano strumenti di ricognizione e movimento laterale tra cui Impacket, SoftPerfect Network Scanner e Advanced IP Scanner;
• creano nuovi account amministrativi e innalzano i privilegi di quelli già presenti;
• installano software di accesso remoto come AnyDesk, TeamViewer e RustDesk per garantire la persistenza;
• stabiliscono connessioni nascoste tramite SSH inverso e Cloudflare Tunnels.

Per ridurre le possibilità di rilevamento, gli operatori della minaccia tentano di disattivare le soluzioni di sicurezza degli endpoint, come Windows Defender ed EDR.

In alcuni casi ricorrono alla tecnica BYOVD (bring your own vulnerable driver) per compromettere i sistemi a livello di kernel ed eliminano le copie shadow del volume per impedire eventuali ripristini.

Dalla raccolta dei dati al rilascio del ransomware

Prima di avviare la crittografia, gli attaccanti esfiltrano informazioni riservate: i file vengono compressi con WinRAR ed estratti attraverso strumenti come rclone e FileZilla. Successivamente distribuiscono il ransomware Akira, tramite file eseguibili denominati akira.exe o locker.exe, crittografando le unità di rete e avviando la richiesta di riscatto.

Raccomandazioni per le organizzazioni

Gli esperti di Arctic Wolf invitano tutte le realtà che utilizzano dispositivi SonicWall ad adottare misure immediate.

In particolare, si raccomanda di reimpostare le credenziali delle VPN SSL, inclusi gli account collegati ad Active Directory, soprattutto se i sistemi in passato hanno eseguito firmware vulnerabili a CVE-2024-40766. La semplice applicazione delle patch non è considerata sufficiente se le credenziali sono già state compromesse.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli