Mais uma vez, o Akira ransomware mostra por que é um dos grupos mais perigosos em 2025. Agora, ele está mirando diretamente em dispositivos SonicWall SSL VPN, e o mais alarmante: mesmo sistemas totalmente atualizados estão sendo comprometidos.
Suspeita de zero-day: quando nem o patch salva
Segundo o relatório da Arctic Wolf Labs, as intrusões começaram a ser notadas em julho de 2025 e envolveram acessos via VPN a dispositivos da SonicWall. O detalhe mais preocupante? Alguns desses equipamentos estavam totalmente atualizados, o que levanta a possibilidade de uma vulnerabilidade zero-day ainda não identificada.
Apesar disso, ainda existe a chance de que os ataques estejam aproveitando credenciais comprometidas em vez de uma falha técnica direta. Mas, considerando o histórico do grupo Akira, ninguém está descartando nada.
Ataques rápidos, silenciosos e precisos
O modus operandi do Akira é direto: em um curto intervalo de tempo entre o login via VPN e a criptografia dos arquivos, o estrago já está feito. Diferente de acessos legítimos, que vêm de redes de provedores de internet comuns, os hackers utilizam servidores privados (VPS) para se autenticar via VPN em ambientes comprometidos.
Esse padrão não só escancara a vulnerabilidade nos dispositivos SonicWall, como mostra a evolução do grupo agora com ataques mais cirúrgicos, rápidos e difíceis de detectar.
Recomendações: o que fazer agora
Enquanto a SonicWall não se manifesta nem libera um patch definitivo, as recomendações são duras, mas claras:
- Desabilite o serviço SSL VPN até que um patch seja lançado.
- Aplique autenticação multifator (MFA) para qualquer acesso remoto.
- Remova contas inativas ou pouco utilizadas.
- Reforce políticas de senhas seguras.
Para reduzir a exposição a atividades maliciosas de VPN associadas a esta campanha do AKIRA, revise os ASNs relacionados listados abaixo e considere bloquear seus intervalos CIDR correspondentes para autenticação VPN.
Sendo importante lembrar que essas redes não todas maliciosas, mas quando usadas para autenticação de VPN’s tem apresentado relação com os ataques, sendo assim bloqueie apenas autenticação de VPN, bloquear todo o tráfego podem ocasionar outros problemas:
| AS Number | AS OrgName |
| AS23470 | ReliableSite.Net LLC |
| AS215540 | Global Connectivity Solutions LLP |
| AS64236 | UnReal Servers, LLC |
| AS14315 | 1GSERVERS, LLC |
| AS62240 | Clouvider Limited |
Não é um exagero dizer que sua rede pode estar vulnerável mesmo com todas as atualizações aplicadas.
Akira: uma ameaça em ascensão
O grupo Akira já arrecadou mais de 42 milhões de dólares em resgates desde sua estreia em março de 2023. Só no segundo trimestre de 2025, foi o segundo grupo mais ativo, ficando atrás apenas do Qilin, com 143 vítimas confirmadas.
Um dado curioso: o Akira tem um foco especial na Itália, onde 10% de suas vítimas estão concentradas, número bem acima da média global de 3%.
Quando dispositivos atualizados deixam de ser sinônimo de segurança, é sinal de que estamos lidando com adversários de outro nível. O Akira não está apenas criptografando arquivos. Ele está testando os limites da nossa confiança nas próprias ferramentas que deveriam nos proteger.
Sua equipe está preparada para reagir a um ataque mesmo com tudo “atualizado”? Ou vai esperar o alarme disparar para perceber que o firewall já foi burlado?
