Aggiornamenti recenti Agosto 5th, 2025 2:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Possibile zero-day su SonicWall: Akira colpisce le aziende
- Cisco svela un nuovo tipo di jailbreak AI: i guardrail non bastano
- CERT-AGID 26 luglio – 1 agosto: SharePoint, MintLoader e 4L4MD4R protagonisti
- Secret Blizzard attacca le ambasciate straniere a Mosca tramite gli ISP
- Criminali abusano dei servizi di link wrapping per aggirare i controlli
Possibile zero-day su SonicWall: Akira colpisce le aziende
Il ransomware Akira torna a far parlare di sé, questa volta per una nuova serie di attacchi che sembrano sfruttare una vulnerabilità ancora sconosciuta nei firewall SonicWall di settima generazione. Secondo le indagini di Arctic Wolf, Huntress e altri team di risposta agli incidenti, gli aggressori sarebbero riusciti a violare sistemi completamente aggiornati, compromettendo anche dispositivi protetti da autenticazione multifattore.
Le prime segnalazioni risalgono alla seconda metà di luglio 2025, ma attività simili erano già state osservate nei mesi precedenti. SonicWall ha confermato di essere al lavoro per analizzare quanto accaduto, senza escludere al momento l’ipotesi di uno zero-day.
Accessi remoti anomali tramite VPN
Le intrusioni sono avvenute attraverso l’interfaccia SSL VPN dei firewall SonicWall Gen 7. Arctic Wolf ha registrato accessi non autorizzati provenienti da infrastrutture VPS, un comportamento coerente con l’attività di gruppi ransomware strutturati. In numerosi casi, gli attaccanti hanno ottenuto rapidamente l’accesso ai controller di dominio, passando alla fase di cifratura nel giro di poche ore.
Anche Huntress ha confermato l’osservazione di accessi malevoli a partire dal 25 luglio, seguiti da esecuzioni di payload tramite strumenti come AnyDesk, ScreenConnect o connessioni SSH. Tutti i sistemi colpiti utilizzavano firmware considerato aggiornato, in particolare la versione 7.2.0-7015 e precedenti, e includevano anche dispositivi con MFA attivo.
L’ipotesi di una vulnerabilità ancora non documentata
L’elemento più preoccupante emerso dalle analisi è che i sistemi compromessi non presentavano configurazioni deboli o password facili da indovinare. Al contrario, molte delle aziende colpite avevano implementato MFA e seguito le best practice di sicurezza raccomandate.
Secondo Arctic Wolf, questi segnali suggeriscono la possibile presenza di una vulnerabilità sfruttabile senza credenziali valide, in grado di aggirare le misure di protezione normalmente efficaci. I ricercatori sottolineano che la tempistica e il vettore d’accesso sono coerenti con un attacco mirato basato su una falla zero-day.
SonicWall, in una comunicazione ufficiale, ha dichiarato di essere a conoscenza della campagna in corso e di aver avviato un’indagine interna in collaborazione con i partner di sicurezza.
Tecniche di post-sfruttamento e attacco lampo
Una volta ottenuto l’accesso iniziale, gli operatori di Akira si muovono rapidamente per consolidare la loro presenza e cifrare i dati. Le tecniche osservate comprendono l’eliminazione delle copie shadow, la disattivazione dei sistemi di protezione e l’utilizzo di credenziali di dominio per l’escalation dei privilegi.
In diversi casi è stato osservato l’utilizzo di strumenti legittimi già presenti negli ambienti target, secondo una logica di living-off-the-land. La velocità dell’attacco suggerisce una preparazione accurata, con playbook ben rodati e infrastrutture di comando e controllo già pronte.
Mitigazioni consigliate e indicazioni operative
In attesa che venga confermata o smentita la presenza di una vulnerabilità zero-day, gli esperti raccomandano l’adozione immediata di misure difensive. Tra queste:
-
Disattivazione dell’accesso VPN SSL per i dispositivi esposti su internet
-
Limitazione dell’accesso remoto a indirizzi IP autorizzati
-
Rimozione di account locali inutilizzati
-
Monitoraggio dei log per individuare accessi anomali
-
Segmentazione della rete e rafforzamento dei controlli di accesso
SonicWall ha inoltre invitato gli utenti a implementare funzionalità di sicurezza aggiuntive, come il Geo-IP Filtering, la protezione Botnet e il logging avanzato. Dove possibile, è consigliata l’adozione di sistemi di rilevamento comportamentale o servizi MDR.
Gli attacchi condotti dal gruppo Akira non sono nuovi anche sul panorama italiano. In passato, numerose aziende nazionali sono finite nel mirino del gruppo che opera compiendo la cifratura doppia dei dati e l’eventuale pubblicazione degli stessi su siti di leak.
Condividi l'articolo
- Akira ransomware, Arctic Wolf, attacchi ransomware 2025, attacco informatico, firewall Gen 7, Huntress Labs, sicurezza VPN, SonicWall, vulnerabilità SSL VPN, zero-day SonicWall
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Possibile zero-day su SonicWall: Akira colpisce le aziende Il ransomware Akira torna a far parlare di sé, questa... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi...
-
CERT-AGID 26 luglio – 1 agosto: SharePoint, MintLoader e... Nel corso della settimana, il CERT-AGID ha rilevato e... -
Secret Blizzard attacca le ambasciate straniere a Mosca... Secret Blizzard, gruppo cybercriminale legato ai servizi... -
Criminali abusano dei servizi di link wrapping per aggirare... Nuove tecniche sfruttano i servizi di sicurezza email come...
Ransomware: la serie
No posts found.