Akira 勒索软件黑客积极利用的 SonicWall SSL VPN 缺陷和错误配置

隶属于 Akira 勒索软件组织的威胁行为者继续以 SonicWall 设备为目标进行初始访问。

网络安全公司 Rapid7 表示，它观察到过去一个月涉及 SonicWall 设备的入侵激增，特别是在有报道称自 2025 年 7 月下旬以来 Akira 勒索软件活动重新出现之后。

SonicWall 随后透露，针对其防火墙的 SSL VPN 活动涉及一个已有一年历史的安全漏洞（CVE-2024-40766，CVSS 评分：9.3），其中本地用户密码在迁移过程中被继承，没有重置。

“我们观察到试图暴力破解用户凭据的行为者的威胁活动有所增加，”该公司指出。“为了降低风险，客户应启用僵尸网络过滤来阻止已知的威胁行为者，并确保启用帐户锁定策略。”

SonicWall 还敦促用户检查 LDAP SSL VPN 默认用户组，将其描述为在 Akira 勒索软件攻击背景下配置错误的“关键弱点”——

此设置会自动将每个成功验证的 LDAP 用户添加到预定义的本地组，而不管他们在 Active Directory 中的实际成员身份如何。如果该默认组有权访问敏感服务（例如 SSL VPN、管理接口或不受限制的网络区域），则任何被入侵的 AD 帐户，即使是没有合法需要这些服务的帐户，都将立即继承这些权限。

这有效地绕过了预期的基于 AD 组的访问控制，为攻击者在获得有效凭据后立即提供了进入网络边界的直接路径。

Rapid7 在其警报中表示，它还观察到威胁行为者访问由 SonicWall 设备托管的虚拟办公室门户，在某些默认配置中，这些设备可以促进公共访问，并使攻击者能够使用有效帐户配置 mMFA/TOTP，假设之前有凭据暴露。

“Akira 组织可能会利用所有这三种安全风险的组合来获得未经授权的访问并进行勒索软件作，”它说。

为了降低风险，建议组织轮换所有 SonicWall 本地帐户的密码，删除任何未使用或不活动的 SonicWall 本地帐户，确保配置 MFA/TOTP 策略，并限制虚拟办公室门户对内部网络的访问。

Akira 针对 SonicWall SSL VPN 的行为也得到了澳大利亚网络安全中心 （ACSC） 的回应，该中心承认它知道勒索软件团伙通过这些设备攻击易受攻击的澳大利亚组织。

根据 Ransomware.Live 的信息，自 2023 年 3 月首次亮相以来，Akira 一直是勒索软件威胁领域的持续威胁，迄今为止已造成 967 名受害者。根据 CYFIRMA 分享的统计数据，Akira 在 2025 年 7 月发生了 40 次攻击，成为仅次于 Qilin 和 INC Ransom 的第三大活跃组织。

在 2025 年第二季度标记的 657 起影响全球工业实体的勒索软件攻击中，麒麟、Akira 和 Play 勒索软件家族占据了前三名，分别报告了 101 起、79 起和 75 起事件。

工业网络安全公司 Dragos 在上个月发布的一份报告中表示，Akira 保持着“通过复杂的网络钓鱼和多平台勒索软件部署，始终以制造业和运输业为目标，并持续开展大量活动”。

最近的 Akira 勒索软件感染还利用搜索引擎优化 （SEO） 中毒技术为流行的 IT 管理工具提供木马安装程序，然后用于丢弃 Bumblebee 恶意软件加载程序。