[English]Falls jemand SonicWall VPN als Zugang zu seinen IT-Netzwerken verwendet, aufgepasst. Es gibt Berichte, dass die Ransomware-Gruppe Akira SonicWall VPN-Konten angreift. Und die Gruppe ist wohl in der Lage, auch Konten zu knacken, die per Multifaktor-Authentifizierung (MFA) gesichert sind, wenn bestimmte Randbedingungen vorliegen.
Angriffe auf SonicWall SSL VPNs
Ende Juli 2025 beobachten Sicherheitsforscher von Arctic Wolf einen anhaltende und ansteigende der Ransomware-Gruppe Akira. Diese zielen über SSL-VPN-Anmeldeersuche auf SonicWall-Firewalls und entsprechende Konten. Auf böswillige Anmeldungen folgten innerhalb weniger Minuten Port-Scans, Impacket-SMB-Aktivitäten und die schnelle Auslieferung der Akira-Ransomware auf den betroffenen Systemen.
Die Opfer kamen aus verschiedenen Branchen und Unternehmen unterschiedlicher Größe, was auf eine opportunistische Massenausnutzung hindeutet. Im August 2025 hatte ich im Blog-Beitrag Warnung vor Angriffen auf SonicWall Firewalls (SSL-VPNs) allgemein über Angriffe auf die Firewalls von SonicWall berichtet. Damals war unklar, ob eine Schwachstelle dahinter steckt.
Kürzlich wurde zudem ein Fehler bei SonicWall bekannt, bei dem Backups von Kunden öffentlich einsehbar waren. Ich hatte im Beitrag MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt berichtet. Dort waren Daten von Kunden abgeflossen und die Backups enthalten auch die Zugangsdaten für Konten.
Diese Kampagne von Akira, die auf SonicWall VPN-Konten zielt, hat sich kürzlich noch verschärft, wobei noch am 20. September 2025 neue damit verbundene Infrastrukturen beobachtet wurden. Arctic Wolf hat die Erkenntnisse zum 26. September 2025 im Beitrag Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less öffentlich gemacht (Bleeping Computer hat es hier aufgegriffen).
Alte Schwachstelle CVE-2024-40766
SonicWall bringt die in dieser Kampagne beobachteten böswilligen Anmeldungen mit CVE-2024-40766 in Verbindung. Diese Sicherheitslücke wurde vor einem Jahr öffentlich und ermöglicht über eine unsachgemäßen Zugriffskontrolle und kann zu unbefugtem Zugriff auf Ressourcen und unter bestimmten Umständen zum Absturz der Firewall führen. Dieses Problem betrifft SonicWall-Geräte der Generationen 5 und 6 sowie Geräte der Generation 7, auf denen SonicOS 7.0.1-5035 und ältere Versionen ausgeführt werden. Ein Sicherheitsupdate steht seit dieser Zeit zur Verfügung.
Arctic Wolf vermutet, dass damals Anmeldedaten von Geräten, die für CVE-2024-40766 anfällig sind, abgegriffen und später von Angreifern verwendet worden sein könnten – selbst wenn diese Geräte gepatcht wurden. Denn den Angreifern der aktuellen Akira Ransomware-Kampagne gelang es, sich bei Konten mit aktivierter MFA-Funktion für Einmalpasswörter (OTP) erfolgreich zu authentifizieren.
Die Sicherheitsexperten von Artic Wolf haben in ihre Erkenntnisse über den Ablauf eines Angriffs samt Ausbreitung im Netzwerk im Artikel Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less umfassend beschrieben. Dort finden sich auch Angaben über die Indicators of Compromise (IoC) sowie Hinweise, was Administratoren einer SonicWall Firewall zur Absicherung noch tun sollen.
Ähnliche Artikel:
SonicWall SMA 100 Firmware-Update um Rootkits zu entfernen
Vorzeitige Beendigung des Supports für SonicWall SMA 100
MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt
Warnung vor Angriffen auf SonicWall Firewalls (SSL-VPNs)
MVP: 2013 – 2016
