A autenticação multifator (MFA), amplamente considerada um dos pilares da segurança digital, está sendo burlada em ataques recentes contra dispositivos VPN SSL da SonicWall. O responsável? O grupo de ransomware Akira, que vem explorando brechas críticas para contornar defesas e comprometer redes corporativas.
Esse cenário expõe uma verdade preocupante: não basta aplicar patches de firmware. Mesmo dispositivos atualizados podem continuar vulneráveis caso suas credenciais e dados de autenticação já tenham sido comprometidos anteriormente.
Neste artigo, vamos detalhar como o ransomware Akira está explorando vulnerabilidades na SonicWall, explicar o mecanismo que permite contornar o MFA, mostrar as táticas usadas após a invasão e, sobretudo, orientar administradores de sistemas sobre ações urgentes para proteger suas redes. Afinal, acesso à VPN significa controle total sobre o ambiente corporativo — e a falha em proteger essa porta pode ser devastadora.
O que está acontecendo: um novo vetor de ataque contra a SonicWall
Pesquisadores da empresa de cibersegurança Arctic Wolf identificaram uma nova campanha em que logins em contas VPN protegidas por MFA estão sendo bem-sucedidos mesmo sem o envolvimento direto do usuário.
A investigação mostrou que, apesar de os dispositivos estarem corrigidos contra falhas conhecidas, os atacantes aproveitam credenciais e segredos de autenticação roubados anteriormente. Isso significa que o simples ato de aplicar atualizações não impede o acesso indevido, já que a chave de ataque continua válida.
Esse cenário reforça a gravidade da ameaça: mesmo empresas que acreditam estar seguras após atualizar o firmware permanecem em risco.
Como o Akira está burlando a autenticação multifator (MFA)
É importante esclarecer: o Akira não está quebrando o algoritmo do MFA. Em vez disso, os atacantes usam uma estratégia mais sutil e eficaz: roubar os elementos que tornam o MFA confiável e, assim, gerar seus próprios códigos de autenticação.
A porta de entrada: a antiga vulnerabilidade CVE-2024-40766
O ponto de partida foi a falha crítica identificada como CVE-2024-40766, que afetava dispositivos VPN da SonicWall. Essa vulnerabilidade permitia que invasores extraíssem credenciais, tokens e dados sensíveis de equipamentos sem patch.
Embora muitos administradores já tenham aplicado a correção, os dados roubados anteriormente continuam válidos, o que explica a persistência dos ataques.
O pulo do gato: o roubo de sementes OTP
O segredo da operação está no acesso às sementes OTP. Para explicar de forma simples: uma semente OTP é o código secreto inicial compartilhado entre o servidor da SonicWall e o aplicativo autenticador. É a partir dessa semente que os aplicativos geram os códigos numéricos temporários usados no MFA.
Se o atacante rouba essa semente, ele pode gerar seus próprios códigos válidos indefinidamente, transformando o MFA em um obstáculo ineficaz.
O Google Threat Intelligence Group (GTIG) já havia alertado sobre essa possibilidade em pesquisas recentes, reforçando a hipótese de que grupos como o Akira estão se aproveitando desse tipo de dado para manter o acesso às redes.
As táticas do Akira após a invasão: velocidade e destruição
Uma vez dentro da rede, o Akira age com rapidez e precisão. O grupo não se limita a explorar o acesso inicial: ele expande o controle lateralmente e prepara o terreno para o ransomware.
Entre as ferramentas utilizadas estão:
- Impacket, para movimentação lateral e execução remota de comandos.
- SharpShares, para mapear recursos compartilhados na rede.
- BloodHound, para análise de privilégios e caminhos de ataque em ambientes Active Directory.
Um ponto crucial da operação é o ataque aos servidores de backup Veeam, impedindo que as vítimas restaurem seus dados após a criptografia.
Além disso, os invasores recorrem à técnica conhecida como Bring Your Own Vulnerable Driver (BYOVD). Nesse modelo, eles carregam drivers legítimos, mas com falhas conhecidas, explorando-os para desativar ferramentas de segurança como EDR e antivírus. Só então o ransomware é executado, maximizando os danos.
Ação imediata: como proteger sua rede contra este ataque
A urgência não pode ser subestimada. Se sua organização utiliza dispositivos VPN da SonicWall, algumas medidas devem ser implementadas imediatamente.
Por que atualizar o firmware não é mais suficiente
A aplicação de patches resolve a falha CVE-2024-40766, mas não invalida credenciais e sementes OTP já comprometidas. Portanto, o risco persiste mesmo em dispositivos totalmente atualizados.
A redefinição de credenciais é mandatória e urgente
A SonicWall e diversos especialistas recomendam uma ação imediata:
- Redefinir todas as senhas de contas VPN.
- Reconfigurar o MFA, garantindo a geração de novas sementes OTP.
- Revisar os registros de autenticação em busca de logins suspeitos.
- Implementar monitoramento contínuo para identificar comportamentos anômalos.
Essas medidas podem ser trabalhosas, mas são a única forma de invalidar os segredos já roubados e reduzir a exposição ao Akira.
Conclusão: a lição aprendida com o ataque do Akira
O ataque do ransomware Akira contra a SonicWall deixa uma lição clara: nenhuma camada de segurança é infalível. A autenticação multifator, embora poderosa, pode ser neutralizada quando sementes OTP são comprometidas.
Por isso, a higiene de credenciais é tão essencial quanto a aplicação de patches. Não basta corrigir falhas conhecidas; é preciso também renovar segredos de autenticação e monitorar constantemente o ambiente.
Administradores e profissionais de TI devem encarar esse episódio como um alerta: revisar políticas de segurança, fortalecer monitoramento de acessos e preparar planos de resposta a incidentes já não é opcional, mas um requisito fundamental para a sobrevivência digital das organizações.
