Akira勒索软件利用SonicWall VPN账户发起急速入侵

ctic Wolf观察到，自2025年7月下旬以来，Akira勒索软件活动大幅增加，攻击者正积极针对SonicWall SSL VPN账户。该活动目前仍在持续，截至2025年9月20日，已发现与其相关的新基础设施。

Akira附属团伙利用窃取的凭证进行攻击，即使在启用多因素认证（MFA）的环境中也能得手。报告指出：“威胁行为者通过可能已利用CVE-2024-40766漏洞窃取的凭证访问SSL VPN账户，包括启用了OTP MFA的账户。”

此次活动反映了Akira长期以来对VPN的关注。过去的攻击曾滥用Cisco ASA的CVE-2023-20269和Cisco AnyConnect的CVE-2020-3259等漏洞。

或许最令人担忧的是极短的驻留时间。Arctic Wolf警告：“在近期数十起入侵事件中，攻击者从获取凭证到横向移动、数据渗出再到加密，整个过程不到4小时——部分案例甚至仅需55分钟。”

这种加速的时间线使防御者在勒索软件触发前几乎没有检测和响应的空间。

为躲避检测，该团伙持续更换基础设施：“威胁行为者不断轮换基于VPS的客户端基础设施，试图逃避检测。”

入侵指标包括来自VPS托管提供商的登录（而非传统宽带或企业网络）——这一异常情况可供防御者监控。

受害者涵盖多个行业和公司规模，表明这是大规模利用而非针对性入侵。报告指出：“受害者跨越多个行业和组织规模，表明这是机会主义的大规模利用，而非针对性入侵。”

SonicWall已确认此次活动与CVE-2024-40766漏洞利用相关，并提醒：即使已打补丁的设备，若凭证在更新前已被盗，仍可能面临风险。公司建议：

1. 重置防火墙存储的所有凭证，包括SSL VPN密码和OTP MFA密钥；
2. 更新至SonicOS 7.3.0版本，该版本引入了暴力破解防护和MFA强化措施；
3. 删除未使用账户，并对所有远程访问强制启用MFA；
4. 启用僵尸网络防护和其他安全服务。