![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科SonicWall 防火墙遭 Akira 勒索软件攻击频率激增](https://www.anquan114.com/wp-content/uploads/2024/03/20240328171447502-image.png)
网络安全公司Arctic Wolf报告显示,自7月下旬以来,SonicWall防火墙设备遭Akira勒索软件攻击的频率显著上升,攻击者可能利用了一个此前未知的安全漏洞。
Akira勒索组织自2023年3月活跃至今,已累计入侵超300家机构,受害者涵盖日产(大洋洲及澳大利亚地区)、日立、斯坦福大学等知名企业及高校。截至2024年4月,美国联邦调查局(FBI)确认该组织通过250余起攻击事件获利超4200万美元。
Arctic Wolf实验室观察到,自7月15日起多起勒索入侵事件涉及通过SonicWall SSL VPN连接的非授权访问。研究人员指出:“本次攻击活动的初始入侵方式尚未完全确认。尽管零日漏洞存在的可能性极高,但通过暴力破解、字典攻击和凭证填充等方式获取访问权限的可能性在所有案例中均未被完全排除。”
攻击呈现显著特征:
- 快速入侵加密:攻击者从通过SSL VPN账户初始访问网络到实施数据加密的间隔极短,该模式与至少自2024年10月观察到的同类攻击一致,表明针对SonicWall设备的持续性攻击活动;
- 异常认证源:勒索运营者使用虚拟私有服务器(VPS)进行VPN认证,而合法VPN连接通常源自宽带互联网服务提供商;
- 基础设施共享:多起入侵事件存在共享基础设施特征,表明攻击存在协同性。
防御建议
鉴于SonicWall零日漏洞极可能被野外利用,Arctic Wolf建议管理员:
- 暂时禁用SonicWall SSL VPN服务;
- 在补丁发布前实施强化措施:增强日志监控、部署终端检测、阻止托管服务商网络的VPN认证请求。
关联漏洞预警
报告发布一周前,SonicWall曾警告客户修复安全移动接入(SMA 100)设备中的高危漏洞(CVE-2025-40599)。该漏洞可导致未修复设备遭受远程代码执行攻击,但利用需管理员权限且暂无活跃利用证据。同时提醒:Google威胁情报小组发现攻击者正利用泄露凭证在SMA 100设备上部署新型OVERSTEP rootkit恶意软件。
SonicWall强烈建议客户:
- 对照GTIG报告中的入侵指标(IoCs)检查设备;
- 审查日志中的非授权访问及可疑活动;
- 发现入侵证据立即联系官方支持。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容