Aggiornamenti recenti Settembre 19th, 2025 4:29 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SonicWall vittima di un breach, la compagnia chiede ai clienti di resettare le credenziali
- Cohesity Identity Resilience: da Cohesity e Semperis una soluzione per proteggere le infrastrutture di identità aziendali
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
Possibile zero-day su SonicWall: Akira colpisce le aziende
Il ransomware Akira torna a far parlare di sé, questa volta per una nuova serie di attacchi che sembrano sfruttare una vulnerabilità ancora sconosciuta nei firewall SonicWall di settima generazione. Secondo le indagini di Arctic Wolf, Huntress e altri team di risposta agli incidenti, gli aggressori sarebbero riusciti a violare sistemi completamente aggiornati, compromettendo anche dispositivi protetti da autenticazione multifattore.
Le prime segnalazioni risalgono alla seconda metà di luglio 2025, ma attività simili erano già state osservate nei mesi precedenti. SonicWall ha confermato di essere al lavoro per analizzare quanto accaduto, senza escludere al momento l’ipotesi di uno zero-day.
Accessi remoti anomali tramite VPN
Le intrusioni sono avvenute attraverso l’interfaccia SSL VPN dei firewall SonicWall Gen 7. Arctic Wolf ha registrato accessi non autorizzati provenienti da infrastrutture VPS, un comportamento coerente con l’attività di gruppi ransomware strutturati. In numerosi casi, gli attaccanti hanno ottenuto rapidamente l’accesso ai controller di dominio, passando alla fase di cifratura nel giro di poche ore.
Anche Huntress ha confermato l’osservazione di accessi malevoli a partire dal 25 luglio, seguiti da esecuzioni di payload tramite strumenti come AnyDesk, ScreenConnect o connessioni SSH. Tutti i sistemi colpiti utilizzavano firmware considerato aggiornato, in particolare la versione 7.2.0-7015 e precedenti, e includevano anche dispositivi con MFA attivo.
L’ipotesi di una vulnerabilità ancora non documentata
L’elemento più preoccupante emerso dalle analisi è che i sistemi compromessi non presentavano configurazioni deboli o password facili da indovinare. Al contrario, molte delle aziende colpite avevano implementato MFA e seguito le best practice di sicurezza raccomandate.
Secondo Arctic Wolf, questi segnali suggeriscono la possibile presenza di una vulnerabilità sfruttabile senza credenziali valide, in grado di aggirare le misure di protezione normalmente efficaci. I ricercatori sottolineano che la tempistica e il vettore d’accesso sono coerenti con un attacco mirato basato su una falla zero-day.
SonicWall, in una comunicazione ufficiale, ha dichiarato di essere a conoscenza della campagna in corso e di aver avviato un’indagine interna in collaborazione con i partner di sicurezza.
Tecniche di post-sfruttamento e attacco lampo
Una volta ottenuto l’accesso iniziale, gli operatori di Akira si muovono rapidamente per consolidare la loro presenza e cifrare i dati. Le tecniche osservate comprendono l’eliminazione delle copie shadow, la disattivazione dei sistemi di protezione e l’utilizzo di credenziali di dominio per l’escalation dei privilegi.
In diversi casi è stato osservato l’utilizzo di strumenti legittimi già presenti negli ambienti target, secondo una logica di living-off-the-land. La velocità dell’attacco suggerisce una preparazione accurata, con playbook ben rodati e infrastrutture di comando e controllo già pronte.
Mitigazioni consigliate e indicazioni operative
In attesa che venga confermata o smentita la presenza di una vulnerabilità zero-day, gli esperti raccomandano l’adozione immediata di misure difensive. Tra queste:
-
Disattivazione dell’accesso VPN SSL per i dispositivi esposti su internet
-
Limitazione dell’accesso remoto a indirizzi IP autorizzati
-
Rimozione di account locali inutilizzati
-
Monitoraggio dei log per individuare accessi anomali
-
Segmentazione della rete e rafforzamento dei controlli di accesso
SonicWall ha inoltre invitato gli utenti a implementare funzionalità di sicurezza aggiuntive, come il Geo-IP Filtering, la protezione Botnet e il logging avanzato. Dove possibile, è consigliata l’adozione di sistemi di rilevamento comportamentale o servizi MDR.
Gli attacchi condotti dal gruppo Akira non sono nuovi anche sul panorama italiano. In passato, numerose aziende nazionali sono finite nel mirino del gruppo che opera compiendo la cifratura doppia dei dati e l’eventuale pubblicazione degli stessi su siti di leak.
Condividi l'articolo
- Akira ransomware, Arctic Wolf, attacchi ransomware 2025, attacco informatico, firewall Gen 7, Huntress Labs, sicurezza VPN, SonicWall, vulnerabilità SSL VPN, zero-day SonicWall
ReVault: vulnerabilità nei laptop Dell bypassano il login di Windows
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non bastano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
SonicWall vittima di un breach, la compagnia chiede ai... SonicWall ha confermato di essere stata vittima di un... -
Cohesity Identity Resilience: da Cohesity e Semperis una... A un anno dall’annuncio della partnership, Cohesity e... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di...
Ransomware: la serie
No posts found.