Selon Arctic Wolf Labs, depuis fin juillet 2025, une hausse d’intrusions impliquant des connexions suspectes aux SonicWall SSL VPN est observée, rapidement suivies de scans réseau, d’activité SMB via Impacket et du déploiement du ransomware Akira. SonicWall relie ces connexions malveillantes à la vulnérabilité CVE‑2024‑40766 (improper access control), laissant penser à une réutilisation d’identifiants récoltés sur des appareils auparavant vulnérables, même après correctif. L’infrastructure de la campagne a encore évolué au 20 septembre 2025.
- Type d’attaque : intrusions opportunistes menant à du ransomware Akira.
- Vecteur : connexions malveillantes à des SonicWall SSL VPN avec des identifiants potentiellement exfiltrés via CVE‑2024‑40766.
- Taille/secteurs touchés : multiples secteurs et tailles d’organisations, suggérant une exploitation de masse.
- Temporalité : activité soutenue depuis fin juillet 2025, avec nouvelle infrastructure observée au 20 septembre 2025.
- MFA : authentifications réussies sur des comptes avec OTP activé.
TTPs observés (extrait) 🚨
- Accès initial : utilisation d’identifiants compromis issus d’appareils affectés par CVE‑2024‑40766.
- Découverte : port scanning dans les minutes suivant la connexion.
- Mouvement latéral : activité SMB via Impacket.
- Impact : déploiement rapide d’Akira ransomware.
Produits et vulnérabilité concernés
- SonicWall SSL VPN
- CVE‑2024‑40766 — improper access control
Conclusion : article de type analyse de menace détaillant une campagne active et opportuniste, son enchaînement technique et le lien avec une vulnérabilité connue.
🔗 Source originale : https://arcticwolf.com/resources/blog/smash-and-grab-aggressive-akira-campaign-targets-sonicwall-vpns/