Invasores exploram logins válidos no comprometimento da SonicWall SSL VPN

Akira Ransomware explora falha de um ano da SonicWall com vários vetores - Against Invaders - Notícias de CyberSecurity para humanos.

Invasores exploram logins válidos no comprometimento da SonicWall SSL VPN

A Huntress alerta sobre violações generalizadas de VPN SSL da SonicWall, com invasores usando credenciais válidas para acessar várias contas rapidamente.

A empresa de segurança cibernética Huntress alertou sobre um comprometimento generalizado das VPNs SSL da SonicWall, com agentes de ameaças usando credenciais válidas para acessar várias contas de clientes rapidamente.

“A partir de 10 de outubro, a Huntress observou um comprometimento generalizado dos dispositivos SonicWall SSLVPN em vários ambientes de clientes. Os agentes de ameaças estão se autenticando em várias contas rapidamente em dispositivos comprometidos.” lê o relatório publicado pela Huntress. “A velocidade e a escala desses ataques implicam que os invasores parecem controlar credenciais válidas em vez de força bruta.”

Desde 4 de outubro, mais de 100 contas SonicWall SSL VPN em 16 clientes foram comprometidas usando credenciais válidas, não força bruta. De acordo com a Huntress, os logins se originaram do IP 202.155.8[.]73. Alguns invasores se desconectaram rapidamente, enquanto outros realizaram pós-exploração, varredura de redes e sondagem de contas locais do Windows.

SonicWall recentemente Avisado que os invasores acessaram arquivos de backup de firewall de seu serviço de nuvem, expondo credenciais e configurações criptografadas.

Em setembro, a SonicWall pediu aos clientes que redefinissem as credenciais depois que os arquivos de backup do firewall vinculados às contas MySonicWall foram expostos. A empresa anunciou que bloqueou o acesso dos invasores e está trabalhando com especialistas em segurança cibernética e agências de aplicação da lei para determinar o escopo da violação.

Inicialmente, a SonicWallditoque menos de 5% dos clientes foram afetados, nenhum arquivo vazou, mas a violação ainda apresenta riscos que precisam de ação urgente.

O incidente afetou os firewalls da SonicWall com backup de arquivos de preferência em MySonicWall.com

A SonicWall pediu aos clientes que fizessem login em suas contas MySonicWall e verificassem se os backups na nuvem estão ativados. Se não, não há risco. Em caso afirmativo, procure por números de série sinalizados, eles indicam firewalls afetados que precisam de correção imediata. Se você usou backups, mas não vê nenhum dispositivo sinalizado, a SonicWall compartilhará mais orientações em breve.

A empresa disse aos clientes afetados para importar novos arquivos de preferência. No entanto, a importação do novo arquivo interrompe VPNs IPSec, associações TOTP e acesso do usuário. Após a importação, os usuários devem reconfigurar as chaves pré-compartilhadas da VPN e redefinir o TOTP junto com as senhas do usuário. Para reduzir o tempo de inatividade, a SonicWall recomenda importar durante janelas de manutenção, fora do horário comercial ou períodos de baixa atividade, pois o processo reinicializa o firewall imediatamente.

Em 8 de outubro, a SonicWall confirmou que os agentes de ameaças acessaram os arquivos de preferência de todos os firewalls usando seu serviço de backup em nuvem MySonicWall.

A SonicWall disse que os arquivos roubados contêm credenciais e configurações criptografadas, o que pode ajudar nos ataques. Eles estão notificando os usuários afetados e fornecendo ferramentas de avaliação. As listas de dispositivos atualizadas agora classificam os firewalls afetados por prioridade para orientar a correção.

A divulgação coincide com o aumento dos ataques de ransomware que exploram a falha da SonicWall CVE-2024-40766 para implantar Akira ransomware. A Darktrace observou uma intrusão em agosto de 2025 em uma empresa dos EUA envolvendo digitalização, movimento lateral, escalonamento de privilégios e exfiltração de dados.

“A partir de julho de 2025, os ataques de ransomware Akira aumentaram globalmente, visando dispositivos SonicWall SSL VPN. Em agosto, a Darktrace detectou atividades suspeitas em uma rede dos EUA, incluindo varredura, movimento lateral e exfiltração de dados. reportado DarkTrace. “Um servidor SonicWall VPN comprometido vinculou o incidente à campanha mais ampla da Akira, explorando vulnerabilidades conhecidas.”

PierluigiPaganini

(Assuntos de Segurança–hacking,ransomware)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.