Akira Ransomware Targets SonicWall Firewall Vulnerability

Editorial Team Avatar
Editorial Team

Share with

Punti chiave

  • Akira ransomware sfrutta una falla di SonicWall: Gli aggressori utilizzano una vulnerabilità nota nei dispositivi Secure Mobile Access (SMA) di SonicWall per ottenere accesso non autorizzato e distribuire ransomware.
  • Campagne globali attive: Le aziende di sicurezza segnalano un aumento degli incidenti che colpiscono organizzazioni in diverse regioni, con casi in crescita nel giugno 2024.
  • Patch rilasciata da SonicWall: SonicWall ha diffuso un aggiornamento di sicurezza critico e invita tutti gli utenti ad applicarlo immediatamente.
  • Dati sensibili a rischio: Le organizzazioni compromesse possono subire furto di dati, interruzioni operative e richieste di riscatto dovute alle tecniche di cifratura del ransomware.
  • Piccole imprese particolarmente vulnerabili: Gli esperti sottolineano che le aziende con firmware obsoleto sono maggiormente a rischio, rafforzando l’urgenza di aggiornare.
  • Rischio di nuovi attacchi: I ricercatori avvertono che i sistemi non aggiornati restano esposti e potrebbero essere presi di mira in ulteriori ondate di attacchi.

Introduzione

Il gruppo Akira ha lanciato una serie di attacchi ransomware a livello globale nel giugno 2024, sfruttando una vulnerabilità ormai corretta nei firewall SonicWall Secure Mobile Access. Secondo i ricercatori di sicurezza informatica, l’ondata di incidenti minaccia i dati sensibili delle organizzazioni. Questo ha spinto aziende e soprattutto le piccole imprese ad aggiornare immediatamente i dispositivi per prevenire nuove violazioni e richieste di riscatto.

Scoperta della vulnerabilità e impatto iniziale

I ricercatori di sicurezza hanno identificato una vulnerabilità critica nei dispositivi SonicWall Secure Mobile Access (SMA) che il gruppo Akira sta attivamente sfruttando. Il difetto interessa i dispositivi SMA 100 con versioni firmware precedenti alla 10.2.1.7 e consente agli attaccanti di bypassare l’autenticazione ottenendo accesso amministrativo.

La vulnerabilità è stata rilevata all’inizio di giugno, quando diverse organizzazioni hanno segnalato schemi di violazione ricorrenti. L’azienda di cybersecurity Mandiant ha collegato tali incidenti al gruppo Akira, evidenziando un focus su dispositivi SonicWall non aggiornati in vari settori.

SonicWall ha confermato la vulnerabilità e rilasciato una patch d’emergenza il 12 giugno. Ha sottolineato che gli exploit andati a segno possono portare al completo compromesso del sistema. L’advisory aziendale indica che solo gli apparati SMA 100 esposti su Internet risultano vulnerabili.

Un passo avanti. Sempre.

Unisciti al nostro canale Telegram per ricevere
aggiornamenti mirati, notizie selezionate e contenuti che fanno davvero la differenza.
Zero distrazioni, solo ciò che conta.

Icona Telegram Entra nel Canale

Metodo di attacco

Dopo aver sfruttato la falla negli SMA, gli aggressori ottengono accesso persistente alla rete tramite credenziali amministrative compromesse. Il gruppo Akira mantiene tipicamente l’accesso per diversi giorni prima di attivare il payload ransomware.

I ricercatori notano l’uso di strumenti di amministrazione legittimi da parte degli attaccanti per muoversi lateralmente all’interno delle reti prese di mira. Questa tecnica, chiamata “living off the land”, rende particolarmente difficile l’individuazione mediante i normali strumenti di sicurezza.

Il ransomware utilizza algoritmi di cifratura avanzati per bloccare i file aziendali critici. Le richieste di riscatto variano da 50.000 a 1,5 milioni di dollari in criptovaluta.

Organizzazioni colpite

Le piccole e medie imprese risultano colpite in modo sproporzionato da questi attacchi, spesso a causa di risorse IT limitate. I settori manifatturiero, sanitario e dei servizi professionali rappresentano la maggior parte delle vittime confermate.

Diverse organizzazioni hanno riferito interruzioni operative prolungate in seguito agli attacchi. Una media azienda manifatturiera dell’Ohio, per esempio, ha subito una settimana di fermo produttivo dopo che Akira ha cifrato i sistemi passando attraverso un dispositivo SonicWall non aggiornato.

Anche enti pubblici locali e istituti scolastici dotati di dispositivi SMA hanno riportato tentativi di intrusione. Tuttavia, molti sono riusciti a bloccarli grazie all’applicazione tempestiva delle patch.

Risposta di SonicWall

SonicWall ha attivato immediatamente il proprio team di incident response dopo aver confermato la vulnerabilità. Ha sviluppato e diffuso una patch entro 48 ore dalla verifica, evidenziando l’impegno verso la sicurezza dei clienti.

Riconosciamo la gravità di questa vulnerabilità e abbiamo dedicato tutte le risorse necessarie per affrontarla,” ha dichiarato il Chief Security Officer di SonicWall.

L’azienda ha inoltre attivato un canale di supporto specifico per i clienti coinvolti.

Le squadre di supporto tecnico stanno collaborando con le organizzazioni colpite per assisterle nell’aggiornamento e nel recupero dei sistemi. SonicWall ribadisce che chi utilizza le versioni firmware più recenti è protetto da questo exploit.

Passi di mitigazione

Le organizzazioni che impiegano dispositivi SMA di SonicWall devono installare senza indugio l’aggiornamento firmware più recente (versione 10.2.1.7 o superiore). Gli esperti di sicurezza raccomandano anche un’analisi approfondita dei sistemi dopo l’aggiornamento per individuare eventuali compromissioni.

Misure di sicurezza aggiuntive suggerite includono:

  • Attivazione dell’autenticazione a più fattori per l’accesso remoto
  • Revisione e aggiornamento delle liste di controllo accessi
  • Conservazione di copie di backup aggiornate e offline dei dati critici
  • Monitoraggio dei log di sistema per attività amministrative sospette

Impatto sul settore

Il settore della cybersecurity ha intensificato il monitoraggio delle minacce e la condivisione di informazioni. Numerosi vendor di sicurezza hanno aggiornato i propri strumenti di rilevamento per individuare indicatori del ransomware Akira.

Agenzie governative per la sicurezza informatica hanno diramato allerte rivolte agli operatori di infrastrutture critiche. La Cybersecurity and Infrastructure Security Agency (CISA) ha inserito la vulnerabilità nel proprio catalogo delle minacce sfruttate. Questo ha obbligato le agenzie federali ad aggiornare i sistemi coinvolti.

La collaborazione fra aziende di sicurezza private ha favorito lo sviluppo rapido di strategie di rilevamento e prevenzione. Questo ha aiutato le organizzazioni a rafforzare le difese contro questi attacchi.

Conclusione

La campagna ransomware di Akira ribadisce i rischi legati all’assenza di aggiornamenti nei firewall, con le piccole e medie imprese particolarmente esposte. La risposta coordinata dell’industria e l’applicazione rapida delle patch hanno contribuito a limitare le conseguenze. Cosa tenere d’occhio: monitorare i prossimi avvisi di sicurezza da SonicWall e dalle autorità nazionali man mano che proseguono le attività di aggiornamento e sorveglianza.

Tagged in :

Editorial Team Avatar
Editorial Team

Leave a Reply

Your email address will not be published. Required fields are marked *

More Articles & Posts