Um alerta urgente da empresa de cibersegurança Huntress acendeu a luz vermelha para administradores de rede em todo o mundo: há um comprometimento em massa de dispositivos SonicWall SSL VPN. Segundo os especialistas, hackers estão obtendo acesso a sistemas corporativos inteiros, explorando brechas e credenciais válidas para se infiltrar em redes protegidas — e, em muitos casos, instalar o temido ransomware Akira.
Este artigo explica em detalhes o que está acontecendo com a falha SonicWall, como os invasores estão operando, quem está em risco e, principalmente, como proteger sua infraestrutura agora mesmo. Você encontrará aqui um guia direto e atualizado com as medidas de mitigação recomendadas por especialistas e equipes de resposta a incidentes.
A vulnerabilidade atinge um componente central da segurança corporativa: a VPN, a porta de entrada para o acesso remoto seguro de funcionários e administradores. Com essa camada comprometida, dados sensíveis, configurações críticas e até backups de segurança podem ser sequestrados, deixando empresas inteiras expostas a ataques devastadores de ransomware.
O que está acontecendo com os dispositivos SonicWall?
A investigação da Huntress revelou que centenas de instâncias de SonicWall SSL VPN foram comprometidas quase simultaneamente. O padrão dos ataques levantou suspeitas de um vazamento ou exploração prévia, e não de ataques automatizados de força bruta.
O alerta da Huntress: acesso com credenciais válidas
De acordo com a Huntress, os invasores estão utilizando credenciais válidas para acessar interfaces de administração VPN da SonicWall, em vez de quebrar senhas ou explorar vulnerabilidades técnicas conhecidas. Isso sugere fortemente que houve um vazamento prévio de dados sensíveis, possivelmente de backups ou configurações expostas.
Em suas análises, a Huntress identificou mais de 100 contas comprometidas em múltiplas organizações, todas associadas a logins suspeitos vindos de endereços de IP maliciosos, como o 202.155.8[.]73, um dos principais indicadores de comprometimento (IoC).
Esses acessos indevidos não apenas permitem o login remoto, mas também concedem aos atacantes controle administrativo sobre os firewalls e políticas de rede — um cenário crítico para qualquer infraestrutura corporativa.
A violação de backups na nuvem MySonicWall
O alerta da Huntress coincide com uma admissão recente da própria SonicWall, que confirmou que arquivos de backup de configuração de firewalls hospedados no serviço MySonicWall foram indevidamente expostos a terceiros.
Esses arquivos de backup contêm informações extremamente sensíveis, incluindo:
- Credenciais administrativas e senhas criptografadas;
- Chaves privadas usadas para autenticação de VPN;
- Mapeamentos de rede interna e regras de firewall;
- Endereços IP e políticas de segurança da organização.
Segundo a análise da Arctic Wolf, esses backups podem permitir que um invasor reconstrua a topologia completa da rede de uma empresa, explorando vulnerabilidades de forma cirúrgica.
Em outras palavras, as chaves do castelo foram deixadas à vista — e grupos de ransomware, como o Akira, estão aproveitando isso.
A conexão perigosa com o ransomware Akira
O ransomware Akira é uma das famílias mais ativas de 2024 e 2025, conhecida por atacar diretamente ambientes corporativos e extorquir empresas com valores altos em criptomoedas.
Nos últimos meses, diversos relatórios apontaram que os operadores do Akira têm explorado dispositivos de VPN comprometidos como ponto inicial de intrusão — especialmente equipamentos SonicWall.
Um caso documentado pela Darktrace revelou exatamente esse vetor: o ataque começou com o acesso a uma SonicWall SSL VPN comprometida, seguido por movimento lateral dentro da rede, escalonamento de privilégios e exfiltração de dados críticos.
Em questão de horas, os atacantes haviam obtido controle total do domínio corporativo e iniciado a criptografia em larga escala dos servidores e estações de trabalho.
Esses ataques não são isolados. A Huntress, a Arctic Wolf e outras empresas de segurança observam um aumento coordenado na exploração de dispositivos SonicWall, sugerindo que listas de credenciais válidas ou dados de configuração vazados estão sendo vendidos ou trocados entre grupos de ransomware na dark web.
O resultado é um cenário de alto risco para qualquer empresa que ainda não tenha revisto suas configurações de VPN SonicWall.
Guia de mitigação: passos essenciais para proteger sua rede agora
Com o comprometimento SonicWall ativo e em larga escala, a resposta precisa ser imediata e coordenada.
A seguir, um checklist prático com as principais ações recomendadas por especialistas de segurança.
Redefina todas as credenciais imediatamente
Comece redefinindo todas as senhas de administradores e usuários da VPN, mesmo que você ainda não tenha detectado sinais de comprometimento.
Se sua empresa utiliza o serviço MySonicWall, baixe novamente as configurações, aplique novas credenciais e delete os backups antigos.
Senhas antigas ou reaproveitadas podem já estar em posse de invasores — e isso torna qualquer outro passo ineficaz.
Habilite a autenticação multifator (MFA) em todas as contas
A autenticação multifator (MFA) é hoje a defesa mais eficaz contra o uso de credenciais roubadas.
Com ela, mesmo que um atacante obtenha uma senha válida, não conseguirá acessar o sistema sem o segundo fator de autenticação, geralmente um aplicativo ou token físico.
A SonicWall já oferece suporte a MFA via TOTP e DUO, e é altamente recomendável ativar esse recurso em todas as contas administrativas e de acesso remoto.
Restrinja o acesso de gerenciamento via WAN
Sempre que possível, desative o gerenciamento remoto via WAN (internet pública).
Limite o acesso de administração do firewall apenas à rede interna (LAN) ou, idealmente, a uma sub-rede segura de gerenciamento.
Essa prática impede que atacantes acessem a interface de configuração da SonicWall diretamente da internet, mesmo que conheçam as credenciais.
Monitore os logs de autenticação
Verifique cuidadosamente os logs de autenticação do seu firewall SonicWall e procure por:
- Tentativas de login a partir do IP 202.155.8[.]73 ou outros endereços suspeitos;
- Logins bem-sucedidos de regiões incomuns;
- Horários atípicos de acesso administrativo.
Se qualquer atividade anômala for detectada, revogue as sessões imediatamente, altere senhas e investigue possíveis modificações de configuração.
Revogue chaves de API externas
Se o seu ambiente utiliza integrações via API (por exemplo, monitoramento, scripts de automação ou painéis externos), revogue todas as chaves de API existentes e gere novas.
As chaves antigas podem estar comprometidas, permitindo acesso remoto invisível ao seu sistema mesmo após a redefinição de senhas.
Além disso, revise os privilégios associados a cada chave para garantir que apenas os serviços essenciais tenham permissão de acesso.
Conclusão: a segurança em dispositivos de borda é uma prioridade
A falha SonicWall representa um lembrete contundente de que a segurança de dispositivos de borda — como firewalls, VPNs e gateways — é tão crucial quanto a proteção de servidores internos.
Esses equipamentos são a primeira linha de defesa da rede corporativa, e qualquer brecha neles pode comprometer todo o ecossistema de segurança.
Empresas de todos os portes, especialmente pequenas e médias, que dependem da SonicWall para acesso remoto seguro, devem agir imediatamente.
Atualizar firmware, revisar configurações, ativar MFA e monitorar logs não são medidas opcionais — são etapas essenciais para evitar ser o próximo alvo do ransomware Akira ou de outras ameaças semelhantes.
Não espere por um incidente para reforçar sua segurança.
Revise agora mesmo as configurações do seu firewall SonicWall, siga o checklist de mitigação deste artigo e compartilhe estas informações com sua equipe de TI e segurança.
A conscientização e a ação rápida ainda são as ferramentas mais eficazes na proteção contra ataques cibernéticos.
