Kyberzločinci stojící za ransomwarem Akira zaměřili své útoky na zařízení SonicWall SSL VPN v rámci nového nárůstu aktivity zaznamenaného koncem července 2025. Podle odborníků z Arctic Wolf Labs útoky pravděpodobně využívají dosud neodhalenou bezpečnostní chybu typu zero-day.

„Při přezkoumaných incidentech bylo během krátkého období zaznamenáno několik počátečních průniků před nasazením ransomwaru, přičemž každý z nich zahrnoval přístup přes SonicWall SSL VPN,“ uvedl Julian Tuin z Arctic Wolf Labs. Některé napadené systémy byly plně aktualizované, což zvyšuje podezření na neznámou zranitelnost. Nevylučuje se však ani možnost kompromitace prostřednictvím odcizených přihlašovacích údajů.

Podle Arctic Wolf byly první případy této kampaně zaznamenány 15. července 2025, avšak podobné škodlivé přístupy přes VPN pozorují už od října 2024. Analýza ukázala, že mezi prvním přihlášením a šifrováním souborů bývá jen krátká prodleva. „Na rozdíl od legitimních VPN přihlášení, která obvykle pocházejí z IP adres poskytovatelů internetu, skupiny provozující ransomware často využívají VPN přístup přes virtuální privátní servery v kompromitovaných prostředích,“ dodala firma.

SonicWall se k incidentu zatím oficiálně nevyjádřila. Experti doporučují organizacím dočasně vypnout službu SonicWall SSL VPN, dokud nebude vydána oprava. Další opatření zahrnují povinné vícefaktorové ověřování pro vzdálený přístup, mazání neaktivních účtů na firewallu a důsledné dodržování zásad pro bezpečná hesla.

Ransomware Akira, který se poprvé objevil v březnu 2023, je známý svou schopností útočit na cílené segmenty trhu. Odhaduje se, že od počátku roku 2024 vymámil od více než 250 obětí přibližně 42 milionů dolarů. Ve druhém čtvrtletí 2025 byl podle Check Point druhou nejaktivnější skupinou po Qilin, s 143 novými oběťmi. Výraznou měrou se zaměřuje na Itálii, kde tvoří tamní firmy 10 % jeho obětí oproti 3 % v globálním průměru.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS