Possibile zero-day su SonicWall: Akira colpisce le aziende

Il ransomware Akira torna a far parlare di sé, questa volta per una nuova serie di attacchi che sembrano sfruttare una vulnerabilità ancora sconosciuta nei firewall SonicWall di settima generazione. Secondo le indagini di Arctic Wolf, Huntress e altri team di risposta agli incidenti, gli aggressori sarebbero riusciti a violare sistemi completamente aggiornati, compromettendo anche dispositivi protetti da autenticazione multifattore.

Le prime segnalazioni risalgono alla seconda metà di luglio 2025, ma attività simili erano già state osservate nei mesi precedenti. SonicWall ha confermato di essere al lavoro per analizzare quanto accaduto, senza escludere al momento l’ipotesi di uno zero-day.

Accessi remoti anomali tramite VPN

Le intrusioni sono avvenute attraverso l’interfaccia SSL VPN dei firewall SonicWall Gen 7. Arctic Wolf ha registrato accessi non autorizzati provenienti da infrastrutture VPS, un comportamento coerente con l’attività di gruppi ransomware strutturati. In numerosi casi, gli attaccanti hanno ottenuto rapidamente l’accesso ai controller di dominio, passando alla fase di cifratura nel giro di poche ore.

Anche Huntress ha confermato l’osservazione di accessi malevoli a partire dal 25 luglio, seguiti da esecuzioni di payload tramite strumenti come AnyDesk, ScreenConnect o connessioni SSH. Tutti i sistemi colpiti utilizzavano firmware considerato aggiornato, in particolare la versione 7.2.0-7015 e precedenti, e includevano anche dispositivi con MFA attivo.

L’ipotesi di una vulnerabilità ancora non documentata

L’elemento più preoccupante emerso dalle analisi è che i sistemi compromessi non presentavano configurazioni deboli o password facili da indovinare. Al contrario, molte delle aziende colpite avevano implementato MFA e seguito le best practice di sicurezza raccomandate.

Secondo Arctic Wolf, questi segnali suggeriscono la possibile presenza di una vulnerabilità sfruttabile senza credenziali valide, in grado di aggirare le misure di protezione normalmente efficaci. I ricercatori sottolineano che la tempistica e il vettore d’accesso sono coerenti con un attacco mirato basato su una falla zero-day.

SonicWall, in una comunicazione ufficiale, ha dichiarato di essere a conoscenza della campagna in corso e di aver avviato un’indagine interna in collaborazione con i partner di sicurezza.

Tecniche di post-sfruttamento e attacco lampo

Una volta ottenuto l’accesso iniziale, gli operatori di Akira si muovono rapidamente per consolidare la loro presenza e cifrare i dati. Le tecniche osservate comprendono l’eliminazione delle copie shadow, la disattivazione dei sistemi di protezione e l’utilizzo di credenziali di dominio per l’escalation dei privilegi.

In diversi casi è stato osservato l’utilizzo di strumenti legittimi già presenti negli ambienti target, secondo una logica di living-off-the-land. La velocità dell’attacco suggerisce una preparazione accurata, con playbook ben rodati e infrastrutture di comando e controllo già pronte.

Mitigazioni consigliate e indicazioni operative

In attesa che venga confermata o smentita la presenza di una vulnerabilità zero-day, gli esperti raccomandano l’adozione immediata di misure difensive. Tra queste:

• Disattivazione dell’accesso VPN SSL per i dispositivi esposti su internet

• Limitazione dell’accesso remoto a indirizzi IP autorizzati

• Rimozione di account locali inutilizzati

• Monitoraggio dei log per individuare accessi anomali

• Segmentazione della rete e rafforzamento dei controlli di accesso

SonicWall ha inoltre invitato gli utenti a implementare funzionalità di sicurezza aggiuntive, come il Geo-IP Filtering, la protezione Botnet e il logging avanzato. Dove possibile, è consigliata l’adozione di sistemi di rilevamento comportamentale o servizi MDR.

Gli attacchi condotti dal gruppo Akira non sono nuovi anche sul panorama italiano. In passato, numerose aziende nazionali sono finite nel mirino del gruppo che opera compiendo la cifratura doppia dei dati e l’eventuale pubblicazione degli stessi su siti di leak.