SonicWall SSL VPN 设备近日成为 Akira 勒索软件攻击的目标。安全研究人员指出,这轮攻击活动自 2025 年 7 月下旬起明显增多。
Arctic Wolf Labs 的研究员 Julian Tuin 在报告中表示:“我们观察到多起勒索软件攻击前的入侵行为都涉及 SonicWall SSL VPN 的远程访问,并且这些入侵在短时间内频繁发生。”
报告指出,攻击者可能利用了 SonicWall 设备中一个尚未公开的安全漏洞(零日漏洞),因为部分受害设备已经打上了所有官方补丁。不过,研究人员也未排除攻击者是通过凭证获取实现初始访问的可能性。
此次针对 SonicWall VPN 的攻击最早记录于 2025 年 7 月 15 日,但 Arctic Wolf 表示,早在 2024 年 10 月就已发现类似的恶意 VPN 登录行为,说明攻击者长期关注并持续利用该类设备。
“从首次通过 SSL VPN 获取账户访问权限到勒索加密执行之间的时间非常短。”报告补充道,“与正常 VPN 登录通常来自宽带运营商网络不同,勒索软件团伙更常通过虚拟私人服务器(VPS)进行 VPN 认证,以隐藏真实来源。”
截至本文发布,SonicWall 官方尚未就相关攻击作出回应。鉴于可能涉及零日漏洞,Arctic Wolf 建议企业在补丁发布并应用之前,可考虑暂时禁用 SonicWall SSL VPN 服务。
同时,研究人员还建议采取以下防护措施:
- 为远程访问强制启用多因素认证(MFA);
- 删除不再使用或长期未登录的本地防火墙账户;
- 严格执行密码管理规范。
Akira 勒索软件自 2023 年 3 月首次现身以来,至 2024 年初估计已通过攻击超过 250 个目标勒索了约 4200 万美元的非法收益。
根据 Check Point 发布的数据,Akira 是 2025 年第二季度攻击活跃度排名第二的勒索团伙,仅次于 Qilin,在该季度中声称攻击了 143 名受害者。
此外,报告指出 Akira 此次瞄准的受害者中有 10% 来自意大利公司,远高于整体平均的 3%。
发表评论
您还未登录,请先登录。
登录