O ransomware Akira intensificou suas atividades, explorando de forma agressiva dispositivos SonicWall SSL VPN para comprometer redes corporativas. De acordo com pesquisadores de segurança, os cibercriminosos estão aproveitando tanto a vulnerabilidade CVE-2024-40766 quanto configurações incorretas de LDAP para obter acesso privilegiado.
Este artigo serve como um alerta crucial para administradores de sistemas, engenheiros de rede e profissionais de segurança cibernética. Aqui, você entenderá em detalhes como os invasores exploram essa falha, quais são os pontos fracos mais críticos e, principalmente, quais medidas você deve adotar imediatamente para proteger sua infraestrutura.
Em um cenário em que os dispositivos de borda representam a primeira linha de defesa da rede, um único SonicWall mal configurado pode abrir as portas para um ataque devastador de ransomware. A seguir, desvendamos como o grupo Akira atua e como mitigar essa ameaça.
O que é o ransomware Akira e por que ele é uma ameaça crescente
O Akira surgiu em março de 2023 e rapidamente se consolidou como um dos grupos de ransomware mais ativos do cenário global. Desde então, sua operação de dupla extorsão — criptografar sistemas e ameaçar vazar dados confidenciais — já impactou centenas de empresas em diversos setores.
Relatórios recentes da CYFIRMA e da Dragos apontam que os alvos principais incluem indústrias de manufatura, transporte e serviços críticos de infraestrutura. A capacidade do grupo em adotar novas técnicas e explorar falhas recentes o torna uma ameaça em constante evolução.
Mais do que apenas uma operação criminosa, o Akira se destaca por sua agilidade em incorporar vulnerabilidades recém-divulgadas e seu foco em ambientes corporativos complexos, onde o impacto financeiro e operacional é muito maior.
A porta de entrada: Como o Akira invade redes através do SonicWall SSL VPN
A mais recente onda de ataques do grupo combina duas frentes perigosas: a exploração de uma vulnerabilidade de software e o abuso de configurações inseguras em firewalls SonicWall.
A falha crítica de um ano: CVE-2024-40766
A vulnerabilidade CVE-2024-40766 foi identificada como um problema grave no processo de migração de usuários locais em dispositivos SonicWall. Durante essa migração, as senhas podem ser transferidas sem serem redefinidas, criando um vetor de ataque direto para que invasores utilizem credenciais antigas e não monitoradas.
Na prática, isso significa que contas aparentemente inativas ou negligenciadas podem ser ressuscitadas pelos atacantes, transformando-se em portas de entrada invisíveis para a rede corporativa.
O ponto fraco crítico: Configuração padrão do LDAP SSL VPN
Outro vetor explorado pelo Akira envolve a configuração padrão do LDAP SSL VPN. Em muitos casos, os dispositivos SonicWall são implantados sem ajustes finos, permitindo que qualquer conta do Active Directory comprometida obtenha acesso VPN.
Essa falha de configuração equivale a deixar uma chave mestra nas mãos do invasor: uma credencial comprometida do AD pode se transformar em acesso remoto irrestrito, contornando as políticas de segurança da organização.
Contornando a segurança: Acesso ao portal de escritório virtual e sequestro de MFA
Uma vez dentro do sistema, os atacantes utilizam o Portal de Escritório Virtual para configurar o MFA/TOTP em contas já comprometidas. Isso bloqueia o usuário legítimo e garante persistência no ambiente.
Esse sequestro da autenticação multifator é particularmente perigoso, pois cria uma falsa sensação de segurança enquanto, na realidade, o invasor controla totalmente o acesso.
Outras táticas do grupo Akira: Mais do que apenas exploração de vpn
Embora a exploração do SonicWall SSL VPN esteja em destaque, o grupo Akira é conhecido por diversificar seus métodos de intrusão. Entre suas técnicas adicionais estão:
- Envenenamento de SEO: manipulação de resultados de busca para induzir usuários a baixar malwares como o Bumblebee.
- Uso de ferramentas personalizadas: como o AdaptixC2 para comando e controle.
- Adoção de softwares legítimos: incluindo RustDesk, para estabelecer conexões remotas discretas e difíceis de detectar.
Essas práticas mostram que o Akira não depende de uma única técnica, mas sim de um arsenal variado para garantir acesso e persistência em diferentes cenários corporativos.
Checklist de mitigação: Proteja seu SonicWall contra o ransomware Akira
A boa notícia é que ações imediatas podem reduzir drasticamente o risco de invasão. Confira as medidas essenciais:
Ações imediatas para administradores de SonicWall
- Habilitar a Filtragem de Botnets no firewall.
- Ativar políticas de Bloqueio de Conta para impedir tentativas de força bruta.
- Revisar os Grupos de Usuários Padrão do LDAP SSL VPN e aplicar restrições.
- Alternar senhas de todas as contas locais imediatamente.
- Remover contas locais inativas ou desnecessárias.
Fortalecendo as defesas
- Configurar corretamente o MFA/TOTP em todas as contas corporativas, garantindo que apenas usuários legítimos possam habilitar ou redefinir fatores de autenticação.
- Restringir o acesso ao Portal do Virtual Office apenas a conexões internas da rede corporativa.
- Monitorar constantemente logs de autenticação para identificar comportamentos suspeitos.
Essas medidas não apenas corrigem as falhas atuais, mas também fortalecem a resiliência da rede contra futuros ataques.
Conclusão: A segurança da borda da rede é a primeira linha de defesa
O caso do ransomware Akira explorando falhas no SonicWall SSL VPN evidencia como vulnerabilidades técnicas e erros de configuração podem se combinar para criar brechas devastadoras.
O grupo Akira não age por acaso: ele busca alvos mal protegidos, onde uma simples credencial comprometida pode significar milhões em prejuízos.
Não espere se tornar uma estatística. Revise imediatamente as configurações do seu SonicWall SSL VPN e aplique as mitigações recomendadas. A segurança proativa é a chave para evitar um incidente de ransomware capaz de paralisar operações inteiras.
