Nel mese di luglio 2025 è stata rilevata una nuova ondata di attacchi ransomware Akira che ha preso di mira i dispositivi SonicWall SSL VPN. Questi attacchi si distinguono per la loro capacità di colpire anche dispositivi completamente aggiornati e patchati, facendo ipotizzare la presenza di una vulnerabilità zero-day non ancora identificata nei sistemi SonicWall.

Analisi delle intrusioni

Secondo le recenti analisi condotte da Arctic Wolf Labs, sono state osservate molteplici intrusioni pre-ransomware che sfruttano l’accesso tramite VPN SonicWall SSL VPN. In alcuni casi, gli attaccanti potrebbero sfruttare credenziali compromesse, ma la rapidità e la modalità delle intrusioni fanno pensare a una falla di sicurezza non ancora documentata. L’incremento degli attacchi è stato registrato a partire dal 15 luglio 2025, ma tracce di attività malevola attraverso VPN SonicWall erano già state identificate a ottobre 2024, segnalando un interesse persistente da parte dei cybercriminali verso questi dispositivi.

Modalità di accesso e criticità

Un elemento preoccupante emerso dalle analisi è il breve intervallo tra l’accesso iniziale tramite account VPN e l’attivazione della cifratura ransomware. A differenza dei login legittimi, che solitamente provengono da reti di provider internet tradizionali, i gruppi ransomware preferiscono utilizzare server privati virtuali (VPS) per autenticarsi sulle VPN compromesse, rendendo più difficile il tracciamento delle attività sospette.

Raccomandazioni per le organizzazioni

A fronte di questa situazione, le organizzazioni che utilizzano dispositivi SonicWall sono invitate a valutare la disattivazione del servizio SSL VPN fino a quando non sarà disponibile una patch di sicurezza ufficiale. Tra le misure preventive consigliate figurano anche l’abilitazione dell’autenticazione a più fattori (MFA) per gli accessi remoti, la cancellazione dei vecchi account utente inutilizzati sui firewall e il mantenimento di una rigorosa igiene delle password.

Impatto e statistiche del gruppo Akira

Il gruppo Akira ransomware si è affermato come uno degli attori più attivi nel panorama delle minacce informatiche, con stime di oltre 42 milioni di dollari estorti a più di 250 vittime a partire dal suo esordio a marzo 2023. Nel secondo trimestre del 2025, Akira è stato il secondo gruppo più attivo a livello globale, con 143 vittime dichiarate solo in quel periodo. Particolarmente significativa è la concentrazione di attacchi verso aziende italiane, che rappresentano circa il 10% delle vittime totali del gruppo, rispetto al 3% registrato a livello generale.