事件背景與重要性
2025 年 7 月中下旬起,資安業者發現 Akira 勒索軟體集團大幅將攻擊矛頭指向 SonicWall SSL VPN 裝置。入侵通常從 VPN 帳戶登入開始,攻擊者使用虛擬私人伺服器(VPS)進行認證,以規避監控與追蹤。此次攻擊疑似利用 SonicWall SonicOS 的零日漏洞,可能與 CVE‑2024‑40766 或其他尚未披露的弱點有關。即使部分裝置已更新並啟用 MFA,仍在短時間內遭到攻陷並完成加密與資料竊取。Akira 勒索軟體自 2023 年問世以來,已影響超過 250 家企業,僅 2024 年就勒索超過 4,200 萬美元。受害者包括 Nissan(澳洲)、Hitachi、史丹佛大學等知名機構。
攻擊過程與技術特徵
入侵向量
攻擊多從 SonicWall SSL VPN 帳戶登入展開,有些案例未使用 MFA,也有案例雖啟用 MFA 仍被入侵。可能手法包括暴力破解、密碼填充,或利用零日漏洞。
快速攻擊鏈
入侵後,攻擊者能迅速橫向移動、竊取資料並部署勒索軟體,從登入到完成加密僅需數小時。
漏洞利用模式
此次攻擊與 2024 年披露的 SonicOS 管理與 SSLVPN 存取控制漏洞的手法高度相似,顯示勒索集團持續鎖定 SonicWall 裝置漏洞進行攻擊。
影響範圍與風險評估
受影響的 SonicWall 裝置涵蓋 Gen 5、Gen 6 及部分 Gen 7 系列。許多設備仍未升級至修補版本,全球受影響裝置數量龐大。
Akira 勒索軟體已成為最活躍的勒索團隊之一,僅 2024 年上半年就聲稱攻擊超過 343 家機構。由於攻擊窗口極短、偵測困難,企業若未事先部署防護,可能面臨資料全面加密、機密外洩及營運中斷。
防禦建議與應變措施
立即更新 SonicOS 裝置
將裝置升級至官方最新韌體,避免使用含已知漏洞的版本。
暫停非必要的 SSL VPN 服務
若暫時無需使用,可先關閉 SSL VPN 服務,降低攻擊面。
強化帳戶安全與存取控管
啟用並強制 MFA、移除未使用帳戶、定期重設密碼並限制管理 IP 存取。
加強監控與日誌追蹤
持續檢視 VPN 登入紀錄,特別注意異常的 VPS IP 登入,並透過 SIEM/EDR 工具進行監控。
建立備份與演練機制
定期進行離線備份,並透過桌面演練驗證應變與恢復流程。
Akira 勒索軟體近期針對 SonicWall SSL VPN 裝置展開大規模攻擊,入侵速度快且破壞性高。企業必須立即修補漏洞、加強帳戶安全、強化監控並規劃應變措施,才能降低被勒索的風險並確保營運安全。
資料來源:https://www.bleepingcomputer.com/news/security/surge-of-akira-ransomware-attacks-hits-sonicwall-firewall-devices/