En juillet 2025, Arctic Wolf a observé une augmentation de l’activité de ransomware ciblant les dispositifs de firewall SonicWall pour un accès initial. Dans les intrusions examinées, plusieurs attaques pré-ransomware ont été détectées sur une courte période, impliquant un accès VPN via les VPN SSL de SonicWall.

Bien que l’accès aux identifiants par brute force, attaques par dictionnaire, et credential stuffing n’ait pas encore été définitivement écarté dans tous les cas, les preuves disponibles suggèrent l’existence d’une vulnérabilité zero-day. Dans certains cas, des dispositifs SonicWall entièrement patchés ont été affectés même après la rotation des identifiants. Malgré l’activation de l’authentification multi-facteurs (TOTP MFA), certains comptes ont tout de même été compromis.

Arctic Wolf Labs mène actuellement des recherches sur cette campagne et partagera des détails supplémentaires lorsqu’ils seront disponibles. Cet article met en lumière une menace persistante et souligne l’importance de la vigilance face aux vulnérabilités potentielles dans les dispositifs de sécurité réseau.

🧠 TTPs détectés

TTPs

T1190: Exploitation of Vulnerability, T1078: Valid Accounts, T1110: Brute Force, T1110.001: Password Guessing, T1110.004: Credential Stuffing


🔗 Source originale : https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/

🖴 Archive : https://web.archive.org/web/20250802190615/https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/