Nel panorama della cybersicurezza aziendale, una nuova minaccia sta mettendo a dura prova anche le organizzazioni più attente alla protezione dei propri sistemi. I ricercatori di Arctic Wolf Labs hanno documentato una serie di attacchi ransomware che hanno colpito dispositivi VPN SonicWall completamente aggiornati, suggerendo l'esistenza di una vulnerabilità zero-day ancora sconosciuta. La scoperta assume particolare rilevanza considerando che alcune delle vittime avevano implementato tutte le misure di sicurezza raccomandate, inclusa l'autenticazione a due fattori.
Una vulnerabilità che sfugge alle difese tradizionali
L'elemento più preoccupante emerso dall'analisi riguarda la capacità del gruppo Akira ransomware di penetrare sistemi apparentemente impenetrabili. Gli esperti hanno osservato compromissioni anche in ambienti dove erano state implementate credenziali appena rinnovate e sistemi di autenticazione TOTP (Time-based One-Time Password). Come spiegano i ricercatori nel loro report, "sebbene l'accesso tramite attacchi di forza bruta, dizionario e credential stuffing non possa essere completamente escluso in tutti i casi, le prove disponibili indicano l'esistenza di una vulnerabilità zero-day".
La sofisticatezza degli attacchi emerge anche dall'analisi delle tecniche utilizzate dai cybercriminali per mascherare la propria presenza. A differenza degli accessi VPN legittimi, che tipicamente provengono da reti gestite da fornitori di servizi internet domestici, i gruppi ransomware preferiscono utilizzare server privati virtuali per l'autenticazione VPN negli ambienti compromessi.
L'escalation degli attacchi e i pattern identificati
L'intensificarsi dell'attività criminale ha mostrato un chiaro trend temporale, con un'impennata significativa registrata a partire dal 15 luglio 2025. Tuttavia, i ricercatori hanno rintracciato casi simili già nell'ottobre 2024, suggerendo che la vulnerabilità potrebbe essere stata sfruttata silenziosamente per mesi. Gli analisti hanno notato tempi particolarmente ridotti tra l'accesso iniziale ai sistemi e l'avvio del processo di cifratura dei dati.
Arctic Wolf Labs ha identificato diversi indicatori che permettono di distinguere gli accessi malevoli da quelli legittimi. Oltre all'utilizzo di hosting VPS, gli attaccanti mostrano pattern comportamentali specifici che differiscono sostanzialmente dall'utilizzo normale delle VPN aziendali.
Raccomandazioni per la mitigazione del rischio
Di fronte a questa minaccia emergente, i ricercatori hanno formulato una raccomandazione drastica ma necessaria: disabilitare temporaneamente il servizio SSL VPN di SonicWall fino alla disponibilità e distribuzione di una patch ufficiale. Parallelamente, SonicWall stessa ha suggerito l'implementazione di diverse contromisure, tra cui l'attivazione della protezione Botnet, l'applicazione rigorosa dell'autenticazione multi-fattore per tutti gli accessi remoti e la rimozione degli account firewall inutilizzati.
Un approccio più granulare alla sicurezza prevede il blocco dell'autenticazione VPN da parte di ASN (Autonomous System Numbers) associati a servizi di hosting, sebbene questa misura possa potenzialmente interferire con le operazioni aziendali legittime. Gli esperti sottolineano inoltre l'importanza di aggiornamenti regolari delle password, una pratica fondamentale che assume ancora maggiore rilevanza in questo contesto.
Il gruppo Akira e la sua evoluzione
Il ransomware Akira rappresenta una delle minacce più persistenti del panorama cybercriminale contemporaneo, attivo dal marzo 2023. Il gruppo ha dimostrato una notevole capacità di adattamento, colpendo organizzazioni in settori diversificati che spaziano dall'educazione alla finanza, dal settore immobiliare a quello sanitario. La loro strategia si è evoluta per includere lo sviluppo di un encryptor Linux specificamente progettato per compromettere i server VMware ESXi, dimostrando una comprensione approfondita delle infrastrutture aziendali moderne.
Questa latest campagna contro le VPN SonicWall rappresenta un'ulteriore escalation nelle capacità del gruppo, evidenziando come i cybercriminali continuino a investire risorse nella ricerca di nuove vulnerabilità e nell'affinamento delle proprie tecniche d'attacco. La capacità di sfruttare vulnerabilità zero-day posiziona Akira tra i gruppi ransomware più tecnicamente avanzati attualmente operativi.