資安公司 Arctic Wolf 最新報告指出,自 7 月下旬以來,SonicWall 防火牆設備遭受 Akira 勒索軟體攻擊的數量激增,攻擊者疑似利用了一個未知的零日漏洞進行入侵。
Arctic Wolf Labs 觀察到,自 7 月 15 日起,多起勒索軟體入侵事件都涉及透過 SonicWall SSL VPN 連線進行未經授權存取。值得注意的是,部分受攻擊的 SonicWall 設備已完全修補至最新版本,強烈暗示攻擊者可能利用了零日漏洞。
Arctic Wolf Labs 研究員 Julian Tuin 在報告中表示:「在審查的入侵事件中,我們觀察到短時間內發生多起勒索軟體前置入侵,每起事件都涉及透過 SonicWall SSL VPN 進行 VPN 存取。」
不過研究人員也謹慎指出:「此次攻擊活動的初始存取方法尚未得到確認。雖然零日漏洞的存在極有可能,但在所有案例中,透過暴力破解和憑證填充進行的憑證存取尚未被完全排除。」
攻擊模式分析
研究人員發現,攻擊者從透過 SSL VPN 帳戶獲得初始網路存取權限到執行資料加密的時間間隔很短。這種模式與自 2024 年 10 月以來偵測到的類似攻擊一致,顯示這是一個持續針對 SonicWall 設備的攻擊活動。
此外,Arctic Wolf 注意到勒索軟體操作者使用虛擬私人伺服器託管進行 VPN 驗證,而合法的 VPN 連線通常來自寬頻網際網路服務提供商。
Arctic Wolf 的報告發布前一週,SonicWall 公告修補 SMA 100 設備的重大安全漏洞CVE-2025-40599,該漏洞可能被利用在未修補的設備上取得遠端程式碼執行權限。
根據 Google 威脅情報小組(GTIG)研究人員的報告,SMA 100 設備已成為攻擊者使用遭入侵憑證部署新型 OVERSTEP rootkit 惡意軟體的目標。
緊急防護建議
基於零日漏洞被利用的高度可能性,Arctic Wolf 建議管理員採取以下緊急措施:
立即行動:
- 暫時停用 SonicWall SSL VPN 服務,直到修補程式可用並部署完成
- 實施增強型日誌記錄和端點監控
- 封鎖來自託管相關網路提供商的 VPN 驗證
長期防護措施:
- 對遠端存取強制執行多重身分驗證(MFA)
- 刪除非活躍或未使用的本機防火牆使用者帳戶
- 遵循密碼安全最佳實務
檢查與回應:
- 檢查 GTIG 報告中的入侵指標(IoCs)
- 審查日誌中的未經授權存取和可疑活動
- 如發現任何入侵證據,立即聯繫 SonicWall 支援
Akira 勒索軟體威脅持續擴大
Akira 勒索軟體於 2023 年 3 月首次出現,迅速在全球各行業造成重大損失。過去兩年來,該組織已在暗網上公布超過 300 個受害組織,包括日產汽車(大洋洲和澳洲)、日立和史丹佛大學等知名企業。
根據 FBI 統計,截至 2024 年 4 月,Akira 勒索軟體集團已從超過 250 名受害者身上獲得超過 4,200 萬美元的贖金。Check Point 資料顯示,Akira 在 2025 年第二季成為僅次於 Qilin 的第二活躍勒索軟體組織,該季度共攻擊 143 個受害者。
Akira 勒索軟體組織特別關注義大利市場,該國企業受害者占其總受害者的 10%。Arctic Wolf 研究人員表示正在持續調查此次攻擊活動中使用的攻擊方法,一旦獲得更多資訊將立即向防護人員提供。
SonicWall 官方尚未對此次大規模攻擊事件發表回應。企業用戶應密切關注官方安全公告,並儘快採取相關防護措施以降低遭受攻擊的風險。