Selon Arctic Wolf (Arctic Wolf Labs), fin juillet 2025, une hausse d’activité liée au ransomware a ciblé des pare‑feu SonicWall, en particulier via les SSL VPN, pour obtenir l’accès initial. 🚨
Les analystes ont observé plusieurs intrusions pré‑ransomware rapprochées, chacune impliquant un accès VPN via les SSL VPN SonicWall.
Bien que des voies de compromission par brute force, attaques par dictionnaire ou credential stuffing n’aient pas été formellement exclues dans tous les cas, les éléments disponibles pointent vers l’existence d’une vulnérabilité zero‑day. 🕳️
Dans certains cas, des appareils SonicWall entièrement à jour ont été touchés après rotation des identifiants. Malgré l’activation de la MFA TOTP, des comptes ont tout de même été compromis dans certaines instances. 🔐
Arctic Wolf Labs poursuit ses recherches sur cette campagne et partagera des informations supplémentaires lorsqu’elles seront disponibles. Il s’agit d’une alerte visant à informer sur une activité en cours et ses caractéristiques principales.
TTPs observés:
- Accès initial via SSL VPN SonicWall
- Intrusions pré‑ransomware multiples sur une courte période
- Hypothèses envisagées: brute force / dictionnaire / credential stuffing (non écartés)
- Indices en faveur d’une exploitation zero‑day
- Compromission de comptes malgré TOTP MFA
🔗 Source originale : https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/