Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Akira ransomware prende di mira i dispositivi SonicWall con un bug 0day

Redazione RHC : 3 Agosto 2025 09:53

Da metà luglio, si è registrato un aumento degli attacchi ransomware da parte della cyber gang Akira contro i dispositivi SonicWall. Secondo Arctic Wolf, gli aggressori stanno utilizzando attivamente le connessioni VPN SSL di questi firewall, con il principale sospetto che stiano sfruttando una vulnerabilità zero-day precedentemente sconosciuta.

Akira è emerso nel marzo 2023 e da allora ha attaccato oltre 300 organizzazioni in tutto il mondo. Tra le vittime figurano Nissan (in Australia e Oceania), Hitachi e la Stanford University. Secondo l’FBI , il gruppo ha ricevuto oltre 42 milioni di dollari dalle vittime ad aprile 2024.

Secondo Arctic Wolf Labs, gli attacchi sono iniziati il 15 luglio. In molti casi, l‘accesso non autorizzato è stato registrato tramite la VPN SSL dei dispositivi SonicWall. I ricercatori sottolineano che il metodo esatto di penetrazione iniziale non è stato ancora determinato. Sebbene la versione con vulnerabilità zero-day sembri la più probabile, non si possono escludere completamente scenari con credenziali compromesse (attacchi brute-force, attacchi a dizionario e attacchi di massa).

Una volta ottenuto l’accesso, gli aggressori hanno rapidamente crittografato i dati, un modello coerente con gli attacchi monitorati dall’ottobre 2024. Tutto indica una campagna mirata e a lungo termine contro SonicWall. Gli aggressori stanno seguendo uno schema consolidato: distruggere definitivamente i backup, lasciando le vittime senza possibilità di recuperarli.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Si noti inoltre che questi attacchi utilizzano un metodo atipico di accesso VPN: invece dei tradizionali provider di comunicazione, gli aggressori si connettono tramite piattaforme di hosting. Questo consente di distinguere il traffico dannoso da quello legittimo.

L’indagine è in corso, ma si consiglia agli amministratori di SonicWall di disattivare temporaneamente la VPN SSL, abilitare la registrazione avanzata, abilitare il monitoraggio delle attività degli endpoint e bloccare l’accesso alla VPN dagli indirizzi IP di hosting finché non saranno disponibili le patch.

Questa raccomandazione è stata pubblicata una settimana dopo un avviso di SonicWall stessa, che richiedeva un aggiornamento urgente dei dispositivi della serie SMA 100. Riguardava la vulnerabilità critica CVE-2025-40599, che consente l’esecuzione di codice arbitrario su dispositivi non protetti con diritti di amministratore.

Sebbene non vi siano dati di utilizzo attivo di questa vulnerabilità, l’azienda sottolinea che i dispositivi sono già coinvolti in attacchi che utilizzano login e password rubati, anche per l’installazione del nuovo rootkit OVERSTEP scoperto dai ricercatori del Google Threat Intelligence Group.

SonicWall ha inoltre raccomandato vivamente agli amministratori delle versioni virtuali e fisiche di SMA 100 di esaminare i registri delle attività, cercare indicatori di compromissione e contattare immediatamente l’assistenza se rilevano segnali di violazione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...