网络安全公司Arctic Wolf报告指出，自7月下旬以来，Akira勒索软件对SonicWall防火墙设备的攻击显著增加，可能利用了此前未知的安全漏洞。Akira组织自2023年3月起活跃，已入侵超过300家机构，包括知名企业和高校，并已获利数千万美元。攻击特征包括快速加密、利用虚拟私有服务器进行VPN认证以及共享基础设施，表明攻击活动具有协同性和持续性。Arctic Wolf建议管理员暂时禁用SSL VPN服务，并实施强化措施以应对潜在风险，同时SonicWall也警告客户修复相关漏洞。

🚨 **Akira勒索软件攻击SonicWall设备激增**：网络安全公司Arctic Wolf的报告显示，自7月下旬以来，Akira勒索软件对SonicWall防火墙设备的攻击频率显著上升，攻击者可能利用了此前未知的安全漏洞，此次攻击活动呈现出持续性，并可能与已知的针对SonicWall设备的攻击活动保持一致。

🎯 **Akira组织的广泛攻击范围与高额获利**：Akira勒索组织自2023年3月起一直活跃，已成功入侵超过300家机构，受害者遍及知名企业（如日产、日立）和高校（如斯坦福大学）。截至2024年4月，美国联邦调查局（FBI）已确认该组织通过250余起攻击事件非法获利超过4200万美元，显示其攻击的规模和经济影响巨大。

🔑 **攻击者的入侵方式与技术特征**：Arctic Wolf实验室观察到，攻击者常通过SonicWall SSL VPN连接进行非授权访问。尽管零日漏洞的可能性极高，但暴力破解、字典攻击和凭证填充也是可能的入侵方式。攻击还表现出使用虚拟私有服务器（VPS）进行VPN认证以及共享基础设施等协同特征，这些都为分析和防御提供了关键线索。

🛡️ **防御建议与关联漏洞预警**：为应对潜在风险，Arctic Wolf建议管理员暂时禁用SonicWall SSL VPN服务，并在补丁发布前实施强化措施，如加强日志监控、部署终端检测和阻止托管服务商网络的VPN认证请求。此外，SonicWall也曾警告客户修复其安全移动接入（SMA 100）设备中的高危漏洞（CVE-2025-40599），并提醒注意攻击者利用泄露凭证部署rootkit恶意软件的风险。

HackerNews 编译，转载请注明出处：

网络安全公司Arctic Wolf报告显示，自7月下旬以来，SonicWall防火墙设备遭Akira勒索软件攻击的频率显著上升，攻击者可能利用了一个此前未知的安全漏洞。

Akira勒索组织自2023年3月活跃至今，已累计入侵超300家机构，受害者涵盖日产（大洋洲及澳大利亚地区）、日立、斯坦福大学等知名企业及高校。截至2024年4月，美国联邦调查局（FBI）确认该组织通过250余起攻击事件获利超4200万美元。

Arctic Wolf实验室观察到，自7月15日起多起勒索入侵事件涉及通过SonicWall SSL VPN连接的非授权访问。研究人员指出：“本次攻击活动的初始入侵方式尚未完全确认。尽管零日漏洞存在的可能性极高，但通过暴力破解、字典攻击和凭证填充等方式获取访问权限的可能性在所有案例中均未被完全排除。”

攻击呈现显著特征：

快速入侵加密：攻击者从通过SSL VPN账户初始访问网络到实施数据加密的间隔极短，该模式与至少自2024年10月观察到的同类攻击一致，表明针对SonicWall设备的持续性攻击活动；异常认证源：勒索运营者使用虚拟私有服务器（VPS）进行VPN认证，而合法VPN连接通常源自宽带互联网服务提供商；基础设施共享：多起入侵事件存在共享基础设施特征，表明攻击存在协同性。

防御建议

鉴于SonicWall零日漏洞极可能被野外利用，Arctic Wolf建议管理员：

暂时禁用SonicWall SSL VPN服务；在补丁发布前实施强化措施：增强日志监控、部署终端检测、阻止托管服务商网络的VPN认证请求。

关联漏洞预警

报告发布一周前，SonicWall曾警告客户修复安全移动接入（SMA 100）设备中的高危漏洞（CVE-2025-40599）。该漏洞可导致未修复设备遭受远程代码执行攻击，但利用需管理员权限且暂无活跃利用证据。同时提醒：Google威胁情报小组发现攻击者正利用泄露凭证在SMA 100设备上部署新型OVERSTEP rootkit恶意软件。

SonicWall强烈建议客户：

对照GTIG报告中的入侵指标（IoCs）检查设备；审查日志中的非授权访问及可疑活动；发现入侵证据立即联系官方支持。

 

 

 

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文