akira-sonicwall-campaign-2025

# Akira Ransomware via SonicWall SSL-VPN - 2025 > [!high] Campanha Ativa - Ransomware via VPN Vulnerável > Campanha do grupo Akira (Storm-1567) explorando vulnerabilidades críticas em appliances SonicWall SSL-VPN como vetor de acesso inicial. CVE-2025-23006 (CVSS 9.8) explorada antes da disponibilidade de patches, com deploy de ransomware Akira em redes corporativas de múltiplos setores. ## Visão Geral A campanha **Akira via SonicWall SSL-VPN 2025** representa a continuação da estratégia de [[storm-1567|Storm-1567]] (operadores do [[akira-ransomware|Akira Ransomware]]) de explorar vulnerabilidades em dispositivos de borda de rede como ponto de entrada privilegiado. O grupo identificou e passou a explorar ativamente a CVE-2025-23006 em appliances SonicWall SMA 1000, uma falha de desserialização que permite execução remota de código sem autenticação prévia. O padrão de ataque desta campanha é representativo da evolução tática dos grupos de ransomware modernos: ao invés de phishing (que exige interação do usuário), o grupo prefere explorar dispositivos de rede expostos diretamente à internet - firewalls, VPNs, gateways - que têm acesso privilegiado à rede interna e frequentemente ficam fora do escopo de monitoramento dos SOCs corporativos. Dispositivos de segurança de perímetro tornam-se o calcanhar de Aquiles da defesa. A campanha segue o modelo de double extortion (dupla extorsão) característico do [[akira-ransomware|Akira]]: exfiltração de dados sensíveis antes da criptografia, com ameaça de públicação no data leak site do grupo caso o resgate não seja pago. Organizações do setor de saúde, manufatura e financeiro nos EUA e Europa foram as principais vítimas documentadas em 2025. Para organizações brasileiras, a relevância é direta: dispositivos SonicWall têm presença significativa no mercado corporativo nacional, e o grupo Akira tem histórico de vitimizar empresas brasileiras de médio porte que tipicamente possuem menor maturidade de segurança e menor visibilidade sobre dispositivos de borda. **Plataformas:** Windows, Linux (VMware ESXi) ## Cadeia de Infecção ```mermaid graph TB A["🔍 Reconhecimento Scan de SonicWall expostos Shodan/Censys/massa"] --> B["💥 Exploração CVE-2025-23006 RCE sem autenticação SMA 1000 SSL-VPN"] B --> C["🔑 Credenciais VPN Dump de sessões ativas ou criação de conta"] C --> D["🌐 Acesso à rede interna via túnel VPN legítimo sem alarmes de segurança"] D --> E["🔎 Reconhecimento interno AD, shares, backups sistemas críticos"] E --> F["📤 Exfiltração de dados Rclone para cloud dupla extorsão"] F --> G["💀 Deploy Akira Criptografia Windows + ESXi impacto máximo"] ``` **Modelo de dupla extorsão:** ```mermaid graph TB A["✅ Acesso estabelecido via VPN comprometida"] --> B["📊 Identificação de joias dados regulatórios, PII propriedade intelectual"] B --> C["📤 Exfiltração silenciosa dias ou semanas antes do ransomware"] C --> D["💣 Deploy ransomware criptografia simultânea Windows e ESXi"] D --> E{"Vítima paga?"} E -- Não --> F["🌐 Publicação no data site exposição dos dados roubados"] E -- Sim --> G["🔑 Decryptor fornecido dados supostamente deletados"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | Exploração CVE-2025-23006 no SonicWall | | [[t1078-valid-accounts\|T1078]] | Valid Accounts | Uso de credenciais VPN roubadas pós-exploit | | [[t1083-file-and-directory-discovery\|T1083]] | File and Directory Discovery | Mapeamento de shares e sistemas críticos | | [[t1048-exfiltration-alternative-protocol\|T1048]] | Exfiltration Over Alternative Protocol | Rclone para exfiltração via cloud storage | | [[t1486-data-encrypted-for-impact\|T1486]] | Data Encrypted for Impact | Criptografia de arquivos Windows e ESXi | ## Vulnerabilidade Explorada **CVE-2025-23006** - SonicWall SMA 1000 Series SSL-VPN: - CVSS: 9.8 (Crítico) - Tipo: Desserialização insegura - Remote Code Execution pré-autenticação - Produtos afetados: SonicWall SMA 1000 Series (versões < 12.4.3-02804) - Status: Patch disponível desde janeiro 2025; exploração ativa na mesma semana O grupo demonstrou capacidade de identificar e operacionalizar novas vulnerabilidades em dispositivos de borda em janelas de tempo muito estreitas - frequentemente antes que organizações consigam avaliar e aplicar patches. ## Indicadores de Comprometimento > [!ioc]- IOCs - Akira SonicWall Campaign 2025 (TLP:GREEN) > **Comportamento característico:** > - Conexões VPN de IPs não reconhecidos após horário de trabalho > - Processo `rclone.exe` ou `rclone` executado de diretórios temporários > - Arquivos com extensão `.akira` ou `.akiranew` em múltiplos diretórios > - Processo `esxiargs` ou scripts shell em hosts ESXi > > **Padrões de exfiltração:** > - Transferências volumosas via SFTP ou rclone para mega.io, MEGA, ou endpoints Backblaze B2 > - Conexões de hosts internos para IPs de cloud storage não usados habitualmente > > **Fontes:** [CISA Advisory AA23-284A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a) · [SonicWall PSIRT](https://psirt.global.sonicwall.com/) ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O grupo Akira tem vítimas brasileiras documentadas nos setores de manufatura, saúde e financeiro. Dispositivos SonicWall têm alta penetração no mercado corporativo nacional de médio porte, e muitas organizações operam sem processo formal de gestão de patches para dispositivos de borda - criando janela de exposição significativa. O grupo Akira tem histórico documentado de vítimas brasileiras, com incidentes em setores de manufatura, saúde e serviços financeiros. A penetração de dispositivos SonicWall no mercado corporativo brasileiro médio é alta, e muitas organizações operam sem processo formal de gestão de patches para dispositivos de segurança de perímetro - criando uma janela de exposição significativa. SOCs brasileiros devem monitorar ativamente alertas de patch do SonicWall PSIRT e tratar qualquer acesso VPN de geolocalização incomum como sinal de alerta. A detecção da fase de exfiltração (rclone, transferências volumosas) é frequentemente a última oportunidade de contenção antes do ransomware. ## Detecção **Indicadores de comprometimento:** - Autenticação VPN bem-sucedida de geolocalização incomum ou horário atípico - Processo `rclone.exe` em hosts Windows, especialmente com parâmetros de cloud storage - Múltiplos arquivos renomeados com extensão `.akira` em múltiplos diretórios simultaneamente **Fontes de dados:** - **Sysmon Event ID 1:** `rclone.exe` executando transferências volumosas para cloud - **SonicWall NGFW Logs:** Sessões VPN com autenticação de IPs suspeitos - **Sysmon Event ID 11:** Criação massal de arquivos com extensão desconhecida **Regras de detecção:** - Sigma: `proc_creation_win_rclone_execution.yml` - execução de rclone (SigmaHQ) - Sigma: `ransomware_extensions.yml` - criação de arquivos com extensão `.akira` ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a) CISA - Akira Ransomware Advisory (2024) - [2](https://psirt.global.sonicwall.com/) SonicWall PSIRT - CVE-2025-23006 Advisory - [3](https://attack.mitre.org/groups/G1003/) MITRE ATT&CK - Akira Ransomware Group - [4](https://www.bleepingcomputer.com/news/security/akira-ransomware-gang-targets-sonicwall-ssl-vpn/) BleepingComputer - Akira via SonicWall (2025)